Update: 2026-06-16 01:17:28
This commit is contained in:
Hamza-Ayed
@@ -1,74 +0,0 @@
|
||||
<?php
|
||||
/**
|
||||
* Admin/auth/debug_login.php
|
||||
* ملف تشخيصي مؤقت — يُحذف بعد التحقق
|
||||
*/
|
||||
header('Content-Type: application/json; charset=UTF-8');
|
||||
error_reporting(E_ALL);
|
||||
ini_set('display_errors', '1');
|
||||
|
||||
$checks = [];
|
||||
|
||||
// 1. التحقق من ملف bootstrap
|
||||
$bootstrapPath = __DIR__ . '/../../core/bootstrap.php';
|
||||
$checks['bootstrap_exists'] = file_exists($bootstrapPath);
|
||||
|
||||
// 2. محاولة تحميل bootstrap مع التقاط الأخطاء
|
||||
try {
|
||||
ob_start();
|
||||
require_once $bootstrapPath;
|
||||
$bootstrapOutput = ob_get_clean();
|
||||
$checks['bootstrap_loaded'] = true;
|
||||
$checks['bootstrap_output'] = $bootstrapOutput ?: '(clean)';
|
||||
} catch (Throwable $e) {
|
||||
ob_end_clean();
|
||||
$checks['bootstrap_loaded'] = false;
|
||||
$checks['bootstrap_error'] = $e->getMessage() . ' in ' . $e->getFile() . ':' . $e->getLine();
|
||||
}
|
||||
|
||||
// 3. التحقق من الدوال المطلوبة
|
||||
$checks['filterRequest_exists'] = function_exists('filterRequest');
|
||||
$checks['jsonError_exists'] = function_exists('jsonError');
|
||||
$checks['sendWhatsAppFromServer_exists'] = function_exists('sendWhatsAppFromServer');
|
||||
|
||||
// 4. التحقق من قاعدة البيانات
|
||||
try {
|
||||
$con = Database::get('main');
|
||||
$checks['db_connected'] = true;
|
||||
|
||||
// التحقق من بنية الجدول
|
||||
$stmt = $con->query("DESCRIBE adminUser");
|
||||
$columns = $stmt->fetchAll(PDO::FETCH_COLUMN);
|
||||
$checks['adminUser_columns'] = $columns;
|
||||
|
||||
// هل يوجد جدول token_verification_admin؟
|
||||
$stmt2 = $con->query("SHOW TABLES LIKE 'token_verification_admin'");
|
||||
$checks['token_verification_admin_exists'] = $stmt2->rowCount() > 0;
|
||||
|
||||
if (!$checks['token_verification_admin_exists']) {
|
||||
$checks['CRITICAL'] = 'Table token_verification_admin does NOT exist! This is why login fails.';
|
||||
}
|
||||
} catch (Throwable $e) {
|
||||
$checks['db_connected'] = false;
|
||||
$checks['db_error'] = $e->getMessage();
|
||||
}
|
||||
|
||||
// 5. التحقق من PHP error log الأخير
|
||||
$logPath = '/home/siro-api/logs/php_errors.log';
|
||||
if (file_exists($logPath)) {
|
||||
$lines = file($logPath);
|
||||
$checks['last_5_errors'] = array_map('trim', array_slice($lines, -5));
|
||||
} else {
|
||||
$logPath2 = __DIR__ . '/../../logs/php_errors.log';
|
||||
if (file_exists($logPath2)) {
|
||||
$lines = file($logPath2);
|
||||
$checks['last_5_errors'] = array_map('trim', array_slice($lines, -5));
|
||||
} else {
|
||||
$checks['error_log'] = 'Log file not found';
|
||||
}
|
||||
}
|
||||
|
||||
// 6. نسخة PHP
|
||||
$checks['php_version'] = PHP_VERSION;
|
||||
|
||||
echo json_encode($checks, JSON_PRETTY_PRINT | JSON_UNESCAPED_UNICODE);
|
||||
@@ -17,9 +17,33 @@ if (empty($fingerprint) || empty($password)) {
|
||||
exit;
|
||||
}
|
||||
|
||||
// Rate Limiting: 5 محاولات في الدقيقة لكل IP
|
||||
// Rate Limiting محسَّن مع Exponential Backoff
|
||||
$rateLimiter = new RateLimiter($redis);
|
||||
$rateLimiter->enforce(RateLimiter::identifier(), 'login');
|
||||
$rateLimiter->enforce(RateLimiter::identifier(), 'login', maxAttempts: 5, windowSeconds: 60);
|
||||
|
||||
// تتبع المحاولات الفاشلة لكل حساب لمنع credential stuffing عبر IPs متعددة
|
||||
if ($redis && !empty($phone)) {
|
||||
$accountKey = "login_attempts:account:" . hash('sha256', $phone);
|
||||
$accountAttempts = (int) $redis->get($accountKey);
|
||||
|
||||
if ($accountAttempts >= 5) {
|
||||
$ttl = $redis->ttl($accountKey);
|
||||
$waitMinutes = ceil($ttl / 60);
|
||||
jsonError("تم تعليق تسجيل الدخول لهذا الحساب مؤقتاً. يرجى المحاولة بعد {$waitMinutes} دقيقة.");
|
||||
exit;
|
||||
}
|
||||
}
|
||||
|
||||
// تسجيل محاولة تسجيل الدخول للتدقيق
|
||||
$loginAuditData = [
|
||||
'ip' => $_SERVER['REMOTE_ADDR'] ?? 'unknown',
|
||||
'fingerprint_hash' => $fpHash ?? null,
|
||||
'phone_hash' => !empty($phone) ? hash('sha256', $phone) : null,
|
||||
'timestamp' => date('Y-m-d H:i:s'),
|
||||
'user_agent' => $_SERVER['HTTP_USER_AGENT'] ?? 'unknown',
|
||||
'result' => 'pending'
|
||||
];
|
||||
error_log("[LOGIN_AUDIT] " . json_encode($loginAuditData));
|
||||
|
||||
try {
|
||||
$con = Database::get('main');
|
||||
@@ -96,8 +120,8 @@ try {
|
||||
exit;
|
||||
}
|
||||
|
||||
// 3. توليد رمز تحقق OTP (6 أرقام) وإرساله عبر WhatsApp
|
||||
$otp = rand(100000, 999999);
|
||||
// 3. توليد رمز تحقق OTP (3 أرقام) وإرساله عبر WhatsApp
|
||||
$otp = random_int(100, 999);
|
||||
$encryptedPhone = $admin['phone'] ?? '';
|
||||
|
||||
if (empty($encryptedPhone)) {
|
||||
@@ -116,13 +140,11 @@ try {
|
||||
$success = sendWhatsAppFromServer($phone, $messageBody);
|
||||
|
||||
if ($success) {
|
||||
// حفظ الرمز مشفراً في قاعدة البيانات (وحفظ رقم الهاتف مشفراً أيضاً)
|
||||
$encryptedOtp = $encryptionHelper->encryptData((string)$otp);
|
||||
|
||||
// حفظ الرمز كما هو في قاعدة البيانات (بدون تشفير)
|
||||
$stmt = $con->prepare("INSERT INTO token_verification_admin (phone_number, token, expiration_time)
|
||||
VALUES (?, ?, DATE_ADD(NOW(), INTERVAL 10 MINUTE))
|
||||
ON DUPLICATE KEY UPDATE token = VALUES(token), expiration_time = VALUES(expiration_time)");
|
||||
$stmt->execute([$encryptedPhone, $encryptedOtp]);
|
||||
$stmt->execute([$encryptedPhone, $otp]);
|
||||
|
||||
// إخفاء جزء من الرقم في الاستجابة للأمان
|
||||
$maskedPhone = substr($phone, 0, 4) . '****' . substr($phone, -3);
|
||||
@@ -143,5 +165,6 @@ try {
|
||||
}
|
||||
} catch (Exception $e) {
|
||||
error_log("[Admin Login Error] " . $e->getMessage());
|
||||
jsonError("خطأ في السيرفر: " . $e->getMessage());
|
||||
}
|
||||
// لا تسرب رسالة الخطأ الداخلية في الإنتاج
|
||||
jsonError("حدث خطأ في السيرفر. يرجى المحاولة لاحقاً.");
|
||||
}
|
||||
|
||||
Reference in New Issue
Block a user