php - Glemt password kode - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php

Bruger #17644 @ 01.02.16 12:44

Jeg har en gammel kode som ser sådan her ud:

Kode

<?

 include_once('Connect.php');  //

$Query = mysql_query("select * from bruger where email = '$_POST[email]'");
$Number = mysql_num_rows($Query);

if($Number == 1) {

$row = mysql_fetch_array($Query);
mail("$_POST[email]","Genudsendelse af kodeord","Hej,

Dit brugernavn er: $row[brugernavn]
Dit kodeord er...: $row[password]

Du kan logge ind med overstående på www.xxxx.dk

Med venlige hilsner
xxx");

echo '<p><strong>Dit kodeord samt brugernavn er nu sendt til din e-mail adresse. <a href="http://www.xxxx.dk/login.php">Klik her for at komme tilbage til forsiden af fuldblodsaraber.dk</a></strong></p>';
} else {
echo '<p><strong>Der blev ikke fundet nogle profiler med denne e-mail adresse ('.$_POST[email].') er du sikker på du har tastet rigtigt? <br><br><a href="http://www.xxxxxxx.dk/login.php">Klik her for at komme tilbage til loginsiden </a> <br></strong></p>';
}
?>

Den driller "pludselig".
Dvs. at den finder ikke altid e-mailadressen selvom den ER der.
Nogle gange virker det og andre gange ikke.
Jeg kan ikke finde ud af hvorfor.

Hvad er det jeg overser?

Kan det være at den ikke virker i de tilfælde hvor en emailadresse måske er oprettet to gange i databasen?

Indlæg senest redigeret d. 01.02.2016 12:47 af Bruger #17644

5 svar postet i denne tråd vises herunder
1 indlæg har modtaget i alt 1 karma

Sorter efter stemmer Sorter efter dato

Bruger #16075 @ 01.02.16 12:57

1.223

får du ikke en advrsel ved denne
$_POST[email]

skal da være
$_POST['email']

Kan det være at den ikke virker i de tilfælde hvor en emailadresse måske er oprettet to gange i databasen?

Ja !!
prøv at se hvad du gør her
if($Number == 1) {

hvorfor har du iøvrigt sammen mailaddresse / person liggende flere gange ??

Bruger #17644 @ 01.02.16 13:00

Det er et gammel loginsystem, og der er brugere som har oprettet sig flere gange med samme mailadresse.
Det skal selvfølgelig laves om, så der ikke kan oprettes med en mail som er i systemet i forvejen.

Men bør jo alligevel også få det skrevet om til mysqli

Bruger #16075 @ 01.02.16 13:40

1.223

Men bør jo alligevel også få det skrevet om til mysqli

ikke bør, men skal omskrives til mysqli

du skal også rette short_open_tag
<?
skal være
<?php

hvorfor står pw ukrypteret i databasen ??
en person der får adgang til databasen, kan se samtlige brugernavn / pw, og mon ikke nogle brugere anvender sammen brugernavn/pw flere steder

krypter bruger pw feks med 1 af disse
http://php.net/manual/en/function.hash.php
http://php.net/manual/en/function.password-hash.php

jeg ville omskrive glemt pw til bare at sende et ny pw (husk at opdate bruger tabellen med det nye pw), og generarer et random pw kig på nedenstående function
http://php.net/manual/en/function.shuffle.php#95414

brugeren skal selvføgelig også have mulighed at skifte pw, men det er vel laver i forvejen

Bruger #17644 @ 01.02.16 13:56

Jeg skal nok have det skåret lidt ud i pap.

Hvor i koden skal jeg indsætte sådan noget krypterings halløj?

Bruger #16075 @ 01.02.16 14:37

1.223

Hvor i koden skal jeg indsætte sådan noget krypterings halløj?

der er når brugeren oprettes pw skal krypteres
det er når brugeren logger ind pw skal krypteres.
det er når brugeren updaterer sit pw der skal krypteres
+ samtlige existerende pw skal krypteres

så det er flere steder der skal laves noget.

hvis du ikke havde spredt dine sql sætninger rundt på alle sider, men lagt det i functioner, der ligger i 1 fil ville det være nemt

her er et udplug af nogle gamle functioner

Kode

private function MyCrypt($pw) {
  $salt = $this->config->GetSalt();
  return hash('sha512', $salt . $pw);
}

// my_profile
public function UpdatePassword($UserId, $pw) {
  $pw = $this->MyCrypt($pw);
  $this->Update("id", $UserId, array("pw" => $pw));
}


// logon.php
public function CheckPassword($username, $password) {
  $id = 0;
  $password = $this->MyCrypt($password);
  $sql = "SELECT id FROM " . $this->tbl . " WHERE email = '$username' and pw = '$password' ";
  $rs = $this->conn->query($sql) or die(var_export($this->conn->errorinfo(), TRUE));
  if ($rs) {
	 $row = $rs->fetch(PDO::FETCH_ASSOC);
	 $id = $row['id'];
  }
  if (strlen($id) == 0)
	 $id = 0; // 0 kan ikke forkomme i tabeller der er autonummereret
  return $id;
}

// tilmelding
public function Create_($name, $email, $addresse, $password) {
  $password = $this->MyCrypt($password);
  return $this->Create(array("name" => $name, "email" => $email, "pw" => $password, "adresse" => $addresse));
}

public function Update_($userid, $name, $email, $addresse, $password) {
  $password = $this->MyCrypt($password);
  $this->Update("id", $userid, array("name" => $name, "email" => $email, "pw" => $password, "adresse" => $addresse));
}

du skal ikke tage dig af private og public, $this, der er pga jeg har det liggende i en class
det du skal ligge mærke til er hvor mange steder pw bliver krypteret ( MyCrypt() )

og så anvender jeg PDO istedet for mysqli, men det minder meget om mysqli skrevet OOP style

Indlæg senest redigeret d. 01.02.2016 14:38 af Bruger #16075

Glemt password kode

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler