这是取码用户密码吗?

时间:2019-06-22 作者:dc09

我正在使用OTP短信插件,该插件在woocommerce的签出和登录/注册页面上运行以下代码:

function smsalert_site_challenge_otp($user_login, $user_email, $errors, $phone_number=null,$otp_type,$password="",$extra_data=null,$from_both=false)
    {
        SmsAlertUtility::checkSession();
        $_SESSION[\'current_url\']    = SmsAlertUtility::currentPageUrl();
        $_SESSION[\'user_email\']     = $user_email;
        $_SESSION[\'user_login\']     = $user_login;
        $_SESSION[\'user_password\']  = $password;
        $_SESSION[\'phone_number_mo\']= $phone_number;
        $_SESSION[\'extra_data\']     = $extra_data;
        _handle_otp_action($user_login,$user_email,$phone_number,$otp_type,$from_both);
    }
函数调用如下:

function _handle_validate_otp_choice_form($postdata)
    {
        SmsAlertUtility::checkSession();
        if($postdata[\'mo_customer_validation_otp_choice\'] == \'user_email_verification\')
            smsalert_site_challenge_otp($_SESSION[\'user_login\'],$_SESSION[\'user_email\'],null,$_SESSION[\'phone_number_mo\'],"email",$_SESSION[\'user_password\'],$_SESSION[\'extra_data\'],true);
        else 
            smsalert_site_challenge_otp($_SESSION[\'user_login\'],$_SESSION[\'user_email\'],null,$_SESSION[\'phone_number_mo\'],"phone",$_SESSION[\'user_password\'],$_SESSION[\'extra_data\'],true);
这条线$_SESSION[\'user_password\'] = $password;意味着密码已收集?

1 个回复
最合适的回答,由SO网友:Krzysiek Dróżdż 整理而成

否,这意味着密码存储在会话中。

所以,是的,它被人们记住了一段时间,这不是最好的主意。

更重要的是它的用途和处理方式。

它看起来像是存储了密码,所以它可以延迟登录过程-它发送短信,检查一次密码,然后才执行正常的WP密码检查,我猜。

但可以肯定的是,你应该检查这是否是存储密码的唯一用途。

标签: woocommerce-offtopic   小码农  

相关推荐