XOOPS Cubeを入れてみる。
使えるなら使おうか、どんなもんだろう、ということでXoops Cubeを入れてみた。
というか、契約しているサーバだと自動インストールしてくれるんで何もしないのとほとんど一緒なんだけどね。
まず思ったのが、こうやってインストールするだけなら確かにSQL使いたくなるだろうなあ、ということ。
面倒くさいバックエンドがらみを全部インストールプログラムで処理してくれるんだからいいよね。
さて、ソースは全部phpなので、適当に読み下していく。
それなりにわかりやすい書き方で、これはこれでいい感じじゃないかとは思った。
今まで汚いプログラムの解析ばかりやってたからなあ。
1時間ほどして、データベースへの問い合わせ部分とデータベース設定の保存部分を発見。
あら、公開フォルダ内にphp生書きでデータベースのパスワードまで書かれてるのね。まあこれはしょうがないのかな?公開フォルダだけで完結させようと思ったらどうにもならないものなあ。
phpよくわからないけど、XSSとか使わなければこの辺の値って読めないようになってるんだよね?フォーム内要素のnameと変数名が一致するような仕様だったけど公開非公開って出来るんだよねえ?ま、いいや。
ユーザーとパスワードは、ユーザーデータベースにmd5で保管されているので、md5してから比較すればいいらしい。phpだとmd5が標準で付いてくるのか。perlだとDigest::md5だったりするんだろうな。
mixiのアレとか考えると、やっぱりサーバそのものにもbasic認証、できればDigest認証はかけておきたいところだな。
一部のスクリプトにゲストアクセスさせて、データベースから認証一覧を書き出せば良いわけだもんな。
ていうか、このサーバ、Digest認証可能なんだろうか?よーわからんなあ。サポートに聞いてみるか。
Comments