PEAK XOOPS - auto-login hacked files for XOOPS in englishin japanese

Main : XOOPS Hacks : 

Category: XOOPS Hacks          
Download Now! auto-login hacked files for XOOPS Popular Version:
Submitted Date:  2004/11/30

If you are using my auto-login hack for, All you have to do is overwrite include/common.php of this archive.
The vulnerablity found in will be fixed by overwriting include/common.php of this archive.

2004-11-30 modified compatibilities against XT Temas

Hacked core files to be able to login automatically (+ alpha).
This package is for XOOPS 2.0.7 & & &

1) Overwrite these files into your XOOPS 2.0.7 or or or
2) update system module. If you are using a custom template set you will need to edit the system_block_login.html for that set.

If you want to set the life time of remembering, insert a line into mainfile.php like this:


This example specifies the life time as 1 month.
The default value is 604800 (= 1week).

The prior version of auto-login hacks useed the value of session_expire.
But this hack harms customizing session.
Thus I've changed the code like above.

This hack stores the password as an MD5 hash on the client, but this is vulnerable to dictionary attacks, and simple copying to another computer.

This hack is a potential security hole, don't enable it lightly.


You can easily find hacked points by searching the words 'GIJ'.
If you use customized language files or some language files other than english or japanese, you should manually add a line into language/(your language)/global.php

define('_REMEMBERME','remember me'); // describe with your language

And if you can, edit this line.

define('_USERNAME','username or email: '); // describe with your language


This hack also modifies your XOOPS can be logged in by email.
Users can login not only uname+password but also email+password.
Of course, even the users logged in by email+password can login automatically on/after next access.

Onokazu took the auto-login hack which GIJOE had released, into XOOPS core with comment-outed.

But I think these codes should be deprecated.
These are the reasons why:

A) The cookie's path is root (='/'). This cause a collision of the cookies from two Xoops sites running on the same hostname.

B) This hack weakens XOOPS from CSRF attack. (Some modules are defenseless from CSRF. They delete or update its records by GET methods easily.)

To prevents from CSRF, my autologin codes force redirection to XOOPS_URL when query is not null.

C) The old hack harms customized session.

(For Japanese)

●XOOPS 用のオートログインハック(+α)済みコアファイルパック

お知らせ:または2.0.7.2用のオートログインハックをかけていた人は、新しいアーカイブ内の include/common.php を上書きして下さい。それだけで、 相当のセキュリティパッチも当たったことになります。

2004-11-30 XT Temasが正常に動作しなかったのを修正

XOOPS (2.0.7でも2.0.7.1/2でもOK) に自動ログイン機能を付与するためのパッチです。


もし、この値を変更したい場合は、mainfile.php に対して下のように1行追加して下さい。


この行は少なくとも、include XOOPS_ROOT_PATH."/include/common.php"; と書かれた行より上にある必要があります。




また、従前の自動ログインHackでは、自動ログインの有効期限として、session_expireの値を流用していましたが、こうしてしまうと、カスタムセッション機能が事実上使えなくなってしまうため、XOOPS_AUTOLOGIN_LIFETIME という定数で指定する方式に改めました。

これだけ書くと、RyujiさんのemailLoginHackと同じじゃないか、と思われそうですが、あそこまできちんと作っていません。ユーザー名として送られてきた文字列に、@ が含まれていれば、email によるログインだと推定してログインを試す、というだけのHackです。

逆に言えば、その分、Hack箇所も少なくて済んでいます。基本的には、include/checklogin.php だけの変更ですので、コアバージョンへの追随も少しは楽になるかもしれません。


また、include/common.php などは、他のHackとバッティングしやすいので、上書きされると困るケースもあるでしょう。その場合は、このアーカイブの各ファイルについて、'GIJ'という文字列で検索すれば、Hack箇所がどこか、すぐに判るはずです。

Downloaded 10236 times  10236  File Size 20.52 KB  Supported Platforms tar.gz  Home Page
Modify | Report Broken File | Tell a Friend | Comments (1)

Comments list

GIJOE  Posted on 2005/3/8 18:56
I can't support you about my work personally.

If you can't understand how to use this hack, I recommend you to restore same as original.

copy these files from the original core package into your system.

luisinho  Posted on 2005/3/5 13:48
sorry, but it doesn't work on mi site..!
noisia  Posted on 2004/10/9 9:58 | Last modified
Hi GiJoe,

Great modules you are developing. Thanks a zillion...

Looking forward to more great developments.
GIJOE  Posted on 2004/8/21 20:02
hi mikeh.

I don't know because I've never seen ipb module.

If the module overwrites only include/common.php, it might be an easy hack.
mikeh  Posted on 2004/8/21 19:51
how hard would this be tohack to use with ipb module
Username or e-mail:


Remember Me

Lost Password?

Register now!