feat: encrypt OTP and phone in verification table

2026-05-01 01:12:08 +03:00
parent 6753d015a1
commit 031b1c6d64
2 changed files with 45 additions and 35 deletions
--- a/Admin/auth/login.php
+++ b/Admin/auth/login.php
@@ -42,29 +42,39 @@ try {
            
            // 3. توليد رمز تحقق OTP وإرساله عبر WhatsApp
            $otp = rand(10000, 99999);
-            $phone = $admin['phone'] ?? ''; // تأكد من وجود حقل الهاتف في الجدول
+            $encryptedPhone = $admin['phone'] ?? '';
            
-            if (empty($phone)) {
-                // Fallback للأرقام المسموح لها إذا لم يكن الرقم مسجلاً في الجدول
-                // (قد نحتاج لتحسين هذه النقطة لاحقاً)
+            if (empty($encryptedPhone)) {
                jsonError("رقم الهاتف غير مسجل لهذا الحساب. يرجى مراجعة الإدارة.");
                exit;
            }

+            // فك تشفير رقم الهاتف (مخزن مشفراً في قاعدة البيانات)
+            $phone = $encryptionHelper->decryptData($encryptedPhone);
+            if (!$phone || empty($phone)) {
+                // إذا فشل فك التشفير، قد يكون الرقم مخزناً بدون تشفير
+                $phone = $encryptedPhone;
+            }
+
            $messageBody = "رمز التحقق الخاص بك للدخول إلى لوحة الإدارة هو: $otp";
            $success = sendWhatsAppFromServer($phone, $messageBody);

            if ($success) {
-                // حفظ الرمز في قاعدة البيانات للتحقق لاحقاً
+                // حفظ الرمز مشفراً في قاعدة البيانات (وحفظ رقم الهاتف مشفراً أيضاً)
+                $encryptedOtp = $encryptionHelper->encryptData((string)$otp);
+                
                $stmt = $con->prepare("INSERT INTO token_verification_admin (phone_number, token, expiration_time)
                                       VALUES (?, ?, DATE_ADD(NOW(), INTERVAL 10 MINUTE))
                                       ON DUPLICATE KEY UPDATE token = VALUES(token), expiration_time = VALUES(expiration_time)");
-                $stmt->execute([$phone, $otp]);
+                $stmt->execute([$encryptedPhone, $encryptedOtp]);
+
+                // إخفاء جزء من الرقم في الاستجابة للأمان
+                $maskedPhone = substr($phone, 0, 4) . '****' . substr($phone, -3);

                printSuccess([
                    "status" => "otp_required",
                    "message" => "تم إرسال رمز التحقق إلى WhatsApp الخاص بك.",
-                    "phone" => $phone
+                    "phone" => $maskedPhone
                ]);
            } else {
                jsonError("فشل في إرسال رمز التحقق عبر WhatsApp.");