Login system, send glemt kodeord

Du kan jo i princippet bare overskrive det eksisterende kodeord:

mysql_query("UPDATE tabelnavn SET pass='".md5($lav_kode)."' WHERE email='$email'");

Altanativt kan du påføre en ekstra kolonne password:

mysql_query("UPDATE tabelnavn SET `autopass`='".md5($lav_kode)."' WHERE email='$email'");

Så når brugeren taster et forkert password, tester du op på autopass kolonnens password.

Alternativ kan du påføre en ekstra kolonne boolean kolonne (tinyint). Når der laves et ny pass gør du som i mit første forslag og sætter flaget til 1:

mysql_query("UPDATE tabelnavn SET pass='".md5($lav_kode)."', `flag`=1 WHERE email='$email'");

Når brugeren logger ind henter du flaget med ud. Er det 1 beder du ham om at skrive et nyt password og sætter dette og flaget til 0.

Når først du har md5'et kodeordet, er det lidt svært at få det tilbage som plain password.
Jeg vil iøvrigt råde dig til at lave ligesom man gør her inde, det er måske lidt "en omvej" for nogle, men, det kan godt betale sig syntes jeg.

Jeg vil nu også anbefale dig at lave et script som autogenererer et nyt password ved forespørgsel. Så skal du heller ikke tænke på afkodning af noget som praktisk talt er umuligt..

Hvordan får man så smidt det der "nye" kodeord ind i mysql?

Altså det er noget med:

 $charset = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
 $lav_kode = substr(str_shuffle($charset), 0, 7);

Hvordan får man så lagt det nye ind i mysql?

Når først du har md5'et kodeordet, er det lidt svært at få det tilbage som plain password.
Jeg vil iøvrigt råde dig til at lave ligesom man gør her inde, det er måske lidt "en omvej" for nogle, men, det kan godt betale sig syntes jeg.

Ikke kun "lidt svært" - det er umuligt hvis sikkerheden er ordentlig :-)

I dette tilfælde vil man genere et tilfældigt password (bestående af tal og bogstaver) som MD5 i databasen og sende dette (i plain text) til brugeren. Når denne så logger ind første gang efter at have modtaget det nye password, skal denne blive bedt ændre det med det samme ;-)

Nu har jeg fået den til at sende til den email fra man skriver ind.

Hvordan tjekker jeg om email'en findes?

Min kode ser sådan her ud nu:

 if($_GET['valg'] == "glemt") {
     if($_POST['submit']) {
         if($email == "") {
             echo "<b>Du skal udfylde <u>Email</u> for at vi kan sende dig et nyt kodeord!</b>";
         } else {
             $email_check = mysql_num_rows(mysql_query("SELECT * FROM user WHERE email='$email'"));
             if ($email_check > 0) {
                 echo "Emailen er ikke regitreret!";
             } else {
                 $charset = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
                 $lav_kode = substr(str_shuffle($charset), 0, 7);
                 $email = htmlspecialchars($_POST['email']);
                 $password = $lav_kode;
                 $password_db = md5($password);
                 mysql_query("UPDATE user SET password='$password' WHERE email='$email'");
                 mail($email,"Mail fra noreply@offlines.dk","Dit nye kodeord er " . $password . "");
                 echo "<b>Vi har nu sendt dig et nyt kodeord :)</b>";
             }
         }
     }
     echo "<form action='?valg=glemt' method='POST'>
         <table>
             <tr>
                 <td width='100%'>
                     Gå ikke i panik hvis du har glemt dit kodeord.<br />
                     Det eneste du skal, er at skrive din email, så sender vi en ny kode.
                 </td>
             </tr>
             <tr>
                 <td width='40%'>
                     <input type='text' name='email'>
                 </td>
                 <td>
                     <input type='submit' name='submit' value='Nyt kodeord!'>
                 </td>
             </tr>
         </table>
     </form>";
 }

Rent principielt er der jo ikke noget at tjekke. Du henter den email du har for et givet brugernavn og sender en email til denne. Du har så enten valideret email da brugeren tilmeldte sig eller du tror på han ikke lyver.