PHP, cURL пост для входа в WordPress

Question

Я работаю над проектом для клиента, которому требуется автоматический вход по ссылке.

Я использую страницу рукопожатия, чтобы сделать это со следующим кодом:

$username = "admin";
$password = "blog";
$url = "http://wordpressblogURL/";
$cookie = "cookie.txt";

$postdata = "log=" . $username . "&pwd=" . $password . "&wp-submit=Log%20In&redirect_to=" . $url . "blog/wordpress/wp-admin/&testcookie=1";
$ch = curl_init();
curl_setopt ($ch, CURLOPT_URL, $url . "blog/wordpress/wp-login.php");

curl_setopt ($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt ($ch, CURLOPT_USERAGENT, "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6");
curl_setopt ($ch, CURLOPT_TIMEOUT, 60);
curl_setopt ($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 0);
curl_setopt ($ch, CURLOPT_COOKIEJAR, $cookie);
curl_setopt ($ch, CURLOPT_REFERER, $url . "blog/wordpress/wp-login.php");

curl_setopt ($ch, CURLOPT_POSTFIELDS, $postdata);
curl_setopt ($ch, CURLOPT_POST, 1);
$result = curl_exec ($ch);
curl_close($ch);
echo $result;

exit;

Это отлично работает. Это регистрирует меня в великой.

Проблема в том, что я считаю, что WordPress отключает URL.

Чтобы уточнить, моя страница рукопожатия (которая регистрирует меня) находится в каталоге "blog", а мое приложение WordPress находится в каталоге "wordpress", который находится внутри каталога "blog". URL в браузере говорит ..blog/handshake.php. Тем не менее, он имеет раздел администратора WordPress в окне браузера. Ссылки администратора WordPress теперь не работают должным образом, поскольку URL-адрес находится в каталоге ../blog, когда он должен находиться в каталоге ..blog/wordpress/wp-admin.

Есть ли способ в cURL сделать так, чтобы URL в браузере отражал реальную страницу?

Должен ли я вместо этого использовать FSockOPen?

Answer 1

Kalium понял это правильно - пути в интерфейсе WordPress являются относительными, поэтому интерфейс администратора не работает должным образом при доступе таким способом.

Ваш подход касается нескольких аспектов, поэтому я хотел бы дать несколько быстрых рекомендаций.

Во-первых, я бы попытался найти способ убрать переменные $username и $password из жесткого кодирования. Подумайте о том, как легко это сломать - например, если пароль обновляется через интерфейс администрирования, жестко заданное значение в вашем коде больше не будет правильным, и ваш «автоматический вход» теперь не удастся. Кроме того, если кто-то каким-то образом включает сайт и получает доступ к handshake.php - ну, теперь у него есть имя пользователя и пароль для вашего блога.

Похоже, что ваша установка WordPress покоится на том же сервере, что и скрипт рукопожатия, который вы написали, учитывая, что путь к /blog является относительным (в вашем примере кода). Соответственно, я бы посоветовал имитировать сеанс, который они проверяют при входе в родительские приложения. Я делал это несколько раз в прошлом - просто не могу вспомнить конкретику. Так, например, ваш сценарий входа в систему не только установит ваши учетные данные для входа, но также установит ключи сеанса, необходимые для аутентификации WordPress.

Этот процесс будет включать в себя копание большого количества кода WordPress, но в этом вся прелесть открытого исходного кода! Вместо использования значений cURL и жесткого кодирования попробуйте просто интегрировать механизм аутентификации WordPress в механизм входа в приложение. Я бы начал с того, что посмотрел на источник для wp-login.php и пошел оттуда.

Если ничего не помогло, и вы решили не пытаться объединить механизм аутентификации сеанса с механизмом WordPress, то вы могли бы немедленно решить вашу проблему (не исправляя более важные аспекты вашего подхода) с этими изменениями в коде. :

Сначала добавьте следующий curl_opt:

curl_setopt($ch, CURLOPT_COOKIEFILE, $cookie);  // Enables session support

Затем добавьте это после закрытия обработчика cURL:

curl_close($ch);
// Instead of echoing the result, redirect to the administration interface, now that the valid, authenticated session has been established
header('location: blog/wordpress/wp-admin/');
die();

Итак, в этом далеко не идеальном решении вы будете использовать cURL для аутентификации пользователя, а затем вместо попытки перехватить интерфейс администрирования на текущей странице, перенаправить их на обычный интерфейс администрирования.

Надеюсь, это поможет! Дайте мне знать, если вам нужна дополнительная помощь / решение не ясно.

Answer 2

Если ваш скрипт не выполняет все функции, которые вам нужны в одном выполнении, вам может понадобиться проанализировать значения файлов cookie, сохранить их в файле и затем повторно отправить при следующем выполнении. Проверьте параметр CURLOPT_COOKIEFILE.

Answer 3

Проверьте исходный код HTML. Похоже, что ссылки WP могут быть относительными. Однако вместо того, чтобы сделать этот процесс еще более сложным, чем он есть, я предлагаю вам выполнить вход, передать пользователю все необходимые файлы cookie и перенаправить их.

В противном случае вы кодируете прокси по частям.

Answer 4

Используйте Класс Cookies Zend Framework , чтобы управлять ими за вас. В прошлом я использовал это для сканирования защищенных разделов веб-сайта, используя cURL .