织梦DedeCMS的cookie存储分析

dedecms的cookie设置特别有意思，我们通常都是直接重写cookie。最多也就是用key/val的键/值对的形式来做。但是我们看dede,不但重写了cookie的写如，读取，删除，而且还对cookie做了必要的验证。

首先我们看dedecms的cookie写入。

function PutCookie($key, $value, $kptime=0, $pa="/")
{
global $cfg_cookie_encode,$cfg_domain_cookie;
setcookie($key, $value, time()+$kptime, $pa,$cfg_domain_cookie);
setcookie($key.'__ckMd5', substr(md5($cfg_cookie_encode.$value),0,16), time()+$kptime, $pa,$cfg_domain_cookie);
}

有一个$key是用来记录$key的值。一个是$key和一段字符组成的串，通过md5之后截取部分，作为验证标记，之所以要做这个验证，是为了方式cookie被伪造而泄露数据。他是通过该cookie要记录的值和一个密钥来组成的。

然后看dedecms的cookie读出。

function GetCookie($key)
{
global $cfg_cookie_encode;
if( !isset($_COOKIE[$key]) || !isset($_COOKIE[$key.'__ckMd5']) )
{
return '';
}
else
{
if($_COOKIE[$key.'__ckMd5']!=substr(md5($cfg_cookie_encode.$_COOKIE[$key]),0,16))
{
return '';
}
else
{
return $_COOKIE[$key];
}
}
}