(old password 관련)로그인 비밀번호를 체크하는 부분은 어디에 있을까요?
본문
일전에 이런 질문을 올렸습니다.
-------------------------
이전에 만들었던 사이트의 회원db를 옮겨오는데요
비밀번호를 보니
이전db는
*B1C76D0D8C4A0DAD...........
이런식으로 되어있고
새로 설치한 사이트는 비밀번호 형식이
sha256:12000:hAbhkTPNu...............
이렇게 시작하네요
둘 차이가 무엇이며 그냥 새db에 이전 자료를 올려도 똑같이 로그인이 될까요?
-----------------------------
많은 분들께서
"안된다 비밀번호를 체크하는 루틴에 예전거하고 새거를 따로 검증하는 루틴을 만들어야 한다."
하셨는데 의외로 그냥 로그인이 되더라구요
그래도 혹시나 해서 로그인 부분을 확인할까 하는데
/bbs/login_check.php 부분에서도 해당 부분을 찾기가 쉽지 않네요
함수로 되어있지 않나 싶은데
1. 왜 로그인이 될까요?
2. 비밀번호 체크하는 부분은 어디에 있을까요?
답변을 부탁드립니다.
감사합니다.
답변 1
if (비밀번호가 틀리면) {
if (비밀번호 === 이전비밀번호) {
새로운 sha256 시작하는 비밀번호 형식으로 업데이트
로그인 성공
}
}
이러한 로직으로 되어 있습니다.
lib/common.lib.php 파일에서 function login_password_check 코드를 보면 됩니다.
아 그러면 기존 비밀번호를 가진 회원도
한번 로그인을 하면 로그인도 되고 비밀번호도 자동으로 새로운 형식으로 바뀌게 되나요?
네 그렇습니다.
답변을 작성하시기 전에 로그인 해주세요.
