DISCUZ架构:common.inc.php文件分析3

$db = new dbstuff;
$db->connect($dbhost, $dbuser, $dbpw, $dbname, $pconnect);
$dbhost = $dbuser = $dbpw = $dbname = $pconnect = NULL;

好了，这里是初始化一个数据库操作的dbstull类的实例，也就是说前面的include/db_mysql.class.php在这里用上了， 所以我觉得那个require_once早了点，放到这里的前面最合适了~！J下面就是连上mysql了，然后把几个配置的变量NULL掉，安全性考虑得 真多，武装到牙齿！

以下为引用的内容：

$sid = daddslashes(($transsidstatus || (defined('CURSCRIPT') && CURSCRIPT == 'wap'))&& (isset($_GET['sid']) || isset($_POST['sid'])) ?
(isset($_GET['sid']) ? $_GET['sid'] : $_POST['sid']) :
(isset($_DCOOKIE['sid']) ? $_DCOOKIE['sid'] : ''));

看看是不是后台设置了通过sid传输的那个东东，还有是不是通过wap访问的，还有是不是有sid这个东东在$_GET或$_POST这两个的任何一个中，以上结论都成立的话从GET中获得sid，不成立的话从$_DCOOKIE中获得。

以下为引用的内容：

$discuz_auth_key = md5($_DCACHE['settings']['authkey'].$_SERVER['HTTP_USER_AGENT']);

设置一个$discuz_auth_key，md5加密。。

以下为引用的内容：

if(isset($_DCOOKIE['auth']) && $_DCOOKIE['auth']) {
list($discuz_pw, $discuz_secques, $discuz_uid) = daddslashes(explode("\t", authcode($_DCOOKIE['auth'], 'DECODE')), 1);
if(!is_numeric($discuz_uid) || !$discuz_uid) {
clearcookies();
}
} else {
list($discuz_pw, $discuz_secques, $discuz_uid) = array('', '', 0);
}

这一段是用来检查是不是$_DCOOKIE[‘auth’]存在，如果有的话就把其中存放的东西分别给$discuz_pw, $discuz_secques, $discuz_uid这三个变量，分别对应密码，提示问题和uid。

以下为引用的内容：

$newpm = $newpmexists = $sessionexists = $seccode = $bloguid = 0;//初始化变量

$membertablefields = 'm.uid AS discuz_uid, m.username AS discuz_user, m.password AS discuz_pw, m.secques AS discuz_secques,
m.adminid, m.groupid, m.groupexpiry, m.extgroupids, m.email, m.timeoffset, m.tpp, m.ppp, m.posts, m.digestposts,
m.oltime, m.pageviews, m.credits, m.extcredits1, m.extcredits2, m.extcredits3, m.extcredits4, m.extcredits5,
m.extcredits6, m.extcredits7, m.extcredits8, m.timeformat, m.dateformat, m.pmsound, m.sigstatus, m.invisible,
m.lastvisit, m.lastactivity, m.lastpost, m.newpm, m.accessmasks, m.xspacestatus, m.editormode, m.customshow';
if($sid) {
if($discuz_uid) {
$query = $db->query("SELECT s.sid, s.styleid, s.groupid='6' AS ipbanned, s.pageviews AS spageviews, s.lastolupdate, s.seccode, $membertablefields
FROM {$tablepre}sessions s, {$tablepre}members m
WHERE m.uid=s.uid AND s.sid='$sid' AND CONCAT_WS('.',s.ip1,s.ip2,s.ip3,s.ip4)='$onlineip' AND m.uid='$discuz_uid'
AND m.password='$discuz_pw' AND m.secques='$discuz_secques'");
} else {
$query = $db->query("SELECT sid, uid AS sessionuid, groupid, groupid='6' AS ipbanned, pageviews AS spageviews, styleid, lastolupdate, seccode
FROM {$tablepre}sessions WHERE sid='$sid' AND CONCAT_WS('.',ip1,ip2,ip3,ip4)='$onlineip'");
}
if($_DSESSION = $db->fetch_array($query)) {
$sessionexists = 1;
if(!empty($_DSESSION['sessionuid'])) {
$query = $db->query("SELECT $membertablefields
FROM {$tablepre}members m WHERE uid='$_DSESSION[sessionuid]'");
$_DSESSION = array_merge($_DSESSION, $db->fetch_array($query));
}
} else {
$query = $db->query("SELECT sid, groupid, groupid='6' AS ipbanned, pageviews AS spageviews, styleid, lastolupdate, seccode
FROM {$tablepre}sessions WHERE sid='$sid' AND CONCAT_WS('.',ip1,ip2,ip3,ip4)='$onlineip'");
if($_DSESSION = $db->fetch_array($query)) {
clearcookies();
$sessionexists = 1;
}
}
}

这一段是有蛮长的，不过看着长不代表它就难，第一行是初始化变量用的（无论何时用变量都要考虑初始化，要不然安全性不值得一提，一个get就完了）
接 下来是判断是不是有sid,有的话就从cdb_session表中取来，然后连接一下cdb_members表取出一些更具体的东西，具体是哪些东西？ 在$membertablefields这个变量里面已经全面写出来了，对应数据库看吧，不看的话用英语猜猜得出的。。。在这里Discuz标记了一个 sessionexist变量，表示这个会员是在线的。

以下为引用的内容：

if(!$sessionexists) {
if($discuz_uid) {
$query = $db->query("SELECT $membertablefields
FROM {$tablepre}members m WHERE m.uid='$discuz_uid' AND m.password='$discuz_pw' AND m.secques='$discuz_secques'");
if(!($_DSESSION = $db->fetch_array($query))) {
clearcookies();
}
}

要是不存在sid，不存在discuz_uid，那就肯定没有登陆了，清掉cookie，要是有$discuz_uid的话，还是从members表中取出信息存放到$_DSESSION数组中

以下为引用的内容：

if(ipbanned($onlineip)) $_DSESSION['ipbanned'] = 1;

$_DSESSION['sid'] = random(6);
$_DSESSION['seccode'] = random(6, 1);
}
$_DSESSION['dateformat'] = empty($_DSESSION['dateformat']) ? $_DCACHE['settings']['dateformat'] : $_DSESSION['dateformat'];
$_DSESSION['timeformat'] = empty($_DSESSION['timeformat']) ? $_DCACHE['settings']['timeformat'] : ($_DSESSION['timeformat'] == 1 ? 'h:i A' : 'H:i');
$_DSESSION['timeoffset'] = isset($_DSESSION['timeoffset']) && $_DSESSION['timeoffset'] != 9999 ? $_DSESSION['timeoffset'] : $_DCACHE['settings']['timeoffset'];

这个是判断ip是不是在被阻止的list里，是的话就标记一下，用$_DSESSION[‘ipbanned’]标记的。再把一个随机的sid和seccode写到$_DSESSION数组。然后接下来是把日期，时间，时差写入$_DSESSION这个变量。