Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [php]zmiana hasla
Forum PHP.pl > Forum > Przedszkole
gigzorr
23.07.2010, 19:13:31
Witam.Mam taki oto kawałek kodu:
[PHP] pobierz, plaintext 
  1.           $login = $_POST['login'];
  2.           $haslo = md5($_POST['haslo']);
  3.           $odp = $_POST['odp'];
  4.  
  5.           //sql injection ochrona
  6.           $login = mysql_real_escape_string(htmlspecialchars(trim(strip_tags($login))));
  7.           $haslo = mysql_real_escape_string(htmlspecialchars(trim(strip_tags($haslo))));
  8.           $odp = mysql_real_escape_string(htmlspecialchars(trim(strip_tags($odp))));
  9.  
  10.           if (empty($login) || (empty($haslo) || (empty($odp))))
  11.           {
  12.               echo 'Prosze wpisać login,haslo,odp.';
  13.           }
  14. else {
  15.            $sprloginu = mysql_fetch_array(mysql_query("SELECT COUNT(*) FROM rejestracja WHERE nick_z_gry = '".$login."' and odpowiedz = '".$odp."' LIMIT 1")) or die(mysql_error());
  16.            print_r($sprloginu);
  17.            if ($sprloginu[0] >= 1)
  18.             {
  19.               echo "";
  20.             }
  21. else {
  22.             $query= "UPDATE rejestracja set haslo = '".$haslo."' WHERE nick_z_gry = '".$login."'" or die(mysql_error());
  23.             print_r($update);
  24.             $result = mysql_query($query);
  25.             if ($result)
  26.             {
  27.                 echo 'Haslo zostało zmienione';
  28.             }
  29.             else {
  30.                 echo 'blad';
  31.             }
  32. }
  33.  
  34.      }
[PHP] pobierz, plaintext


I gdy wpisze byle co , np. a, a, a to i tak wyskakuje , ze haslo zostalo zmienione.A teraz w druga strone , jak wpisze login+haslo to zmienia haslo , ale wlasnie jest tutaj nastepny problem , bo nie porownuje mi odpowiedzi wpisanej z odpowiedzia w bazie a z uzytkownikiem chce zrobic , ze jak nie ma takiego to ma wyskoczyc , ze nie ma , ale zapytanie cos nawala chyba.
Crozin
23.07.2010, 19:23:44 
[PHP] pobierz, plaintext 
  1.  $haslo = md5($_POST['haslo']);
  2. // (...)
  3. $haslo = mysql_real_escape_string(htmlspecialchars(trim(strip_tags($haslo))));
[PHP] pobierz, plaintext 
[PHP] pobierz, plaintext 
  1. $haslo = md5($_POST['haslo']);
  2. // (....)
  3. if ( ... empty($haslo) ... )
[PHP] pobierz, plaintext
Czasami zastanawiam się czy początkujący PHPowcy w ogóle wiedzą co piszą czy tylko klepią kod jak bezmózgie zombie.

Przepisz kod, tak by dało się go czytać... wtedy pewnie ktoś odpowie.
zonkerman
23.07.2010, 19:32:57 
[PHP] pobierz, plaintext 
  1.  $haslo = md5($_POST['haslo']);
  2. // (...)
  3. $haslo = mysql_real_escape_string(htmlspecialchars(trim(strip_tags($haslo))));
[PHP] pobierz, plaintext


Skoro najpierw hash'ujesz to tam nie ma znaków specjalnych, które usuwasz powyższymi funkcjami. Poza tym funkcje: mysql_real_escape_string i htmlspecialchars działają na takiej samej (lub podobnej) zasadzie. Więc po co tyle razy mielić?
gigzorr
23.07.2010, 19:35:22
Cytat(Crozin @ 23.07.2010, 20:23:44 ) *
[PHP] pobierz, plaintext 
  1.  $haslo = md5($_POST['haslo']);
  2. // (...)
  3. $haslo = mysql_real_escape_string(htmlspecialchars(trim(strip_tags($haslo))));
[PHP] pobierz, plaintext 
[PHP] pobierz, plaintext 
  1. $haslo = md5($_POST['haslo']);
  2. // (....)
  3. if ( ... empty($haslo) ... )
[PHP] pobierz, plaintext
Czasami zastanawiam się czy początkujący PHPowcy w ogóle wiedzą co piszą czy tylko klepią kod jak bezmózgie zombie.

Przepisz kod, tak by dało się go czytać... wtedy pewnie ktoś odpowie.


nie rozumiem co miales do konca na mysli .
[PHP] pobierz, plaintext 
  1.           $login = $_POST['login'];
  2.           $haslo = md5($_POST['haslo']);
  3.           $odp = $_POST['odp'];
  4.  
  5.           //sql injection ochrona
  6.           $login = mysql_real_escape_string(htmlspecialchars(trim(strip_tags($login))));
  7.           $haslo = mysql_real_escape_string(htmlspecialchars(trim(strip_tags($haslo))));
  8.           $odp = mysql_real_escape_string(htmlspecialchars(trim(strip_tags($odp))));
  9.  
  10.           if (empty($_POST['login']) || (empty($_POST['haslo']) || (empty($_POST['odp']))))
  11.           {
  12.               echo 'Prosze wpisać login,haslo,odp.';
  13.           }
  14. else
  15. {
  16.            $sprloginu = mysql_fetch_array(mysql_query("SELECT COUNT(*) FROM rejestracja WHERE nick_z_gry = '".$login."' and odpowiedz = '".$odp."'")) or die(mysql_error());
  17.            print_r($sprloginu);
  18.            if ($sprloginu[0] >= 1)
  19.             {
  20.                 echo "nie ma takiego loginu";
  21.             }
  22. else
  23.   {
  24.             $query= "UPDATE rejestracja set haslo = '".$haslo."' WHERE nick_z_gry = '".$login."'" or die(mysql_error());
  25.             print_r($update);
  26.             $result = mysql_query($query);
  27.             if ($result)
  28.             {
  29.                 echo 'Haslo zostało zmienione';
  30.             }
  31.             else
  32.             {
  33.                 echo 'blad';
  34.             }
  35.   }
  36.  
  37. }
[PHP] pobierz, plaintext


ps. jak masz jakas uwage to wal , chociaz naucze sie czegos smile.gif
Makciek
23.07.2010, 19:58:13
chodziło mu o to:
[PHP] pobierz, plaintext 
  1. $haslo = md5($_POST['haslo']); // hashuje, jesli nie wiesz co to to to rodzaj 'kodowania' jednostronnego
  2.  
  3. (...)
  4.  
  5. $haslo = mysql_real_escape_string(htmlspecialchars(trim(strip_tags($haslo)))); // a tu juz tą zakodowaną wersję sprawdzasz , co nie ma sensu
[PHP] pobierz, plaintext


dalej:
(jak dla mnie to uprawiasz w tym miejscu jakieś cuda smile.gif
[PHP] pobierz, plaintext 
  1.  $sprloginu = mysql_fetch_array(mysql_query("SELECT COUNT(*) FROM rejestracja WHERE nick_z_gry = '".$login."' and odpowiedz = '".$odp."' LIMIT 1")) or die(mysql_error());
[PHP] pobierz, plaintext

(wiesz co to oznacza count?)
daj tak:
[PHP] pobierz, plaintext 
  1. $aaaa = mysql_query("SELECT * FROM rejestracja WHERE `nick_z_gry` = '$login' AND `odpowiedz` = '$odp'")) or die(mysql_error());
  2.  $sprloginu = mysql_fetch_array($aaaa);
[PHP] pobierz, plaintext


I spytam jeszcze z ciekawości:
Widziałeś chociaż na oczy jakikolwiek kurs PHP + MySQL?, bo chyba go nie czytałeś smile.gif
Crozin
23.07.2010, 19:59:18
@zonkerman:
1) Pozwól wykazać się gigzorr-owi, by sobie przemyślał co źle zrobił, a nie dawaj na tacy odpowiedzi
2) mysql_real_escape_string i htmlspecialchars nie mają ze sobą kompletnie nic wspólnego - ich działanie i efekty również w żadnym stopniu się nie pokrywają

@gigzorr: Widzę, że nadal nie udało Ci się przepisać kodu z zachowaniem odpowiednich wcięć - ale przynajmniej poprawiłeś błąd z empty.

1) Dlaczego, gdy pierwsze zapytanie (to z COUNT()) zwróci Ci 1, czyli potwierdzenie, że w bazie danych istnieje podana przez użytkownika odpowiedź do hasła, wyświetlasz komunikat "nie ma takiego użytkownika", skoro jest? Chyba Ci się bloki pomyliły (treść IF powinieneś zamienić z treścią ELSE)
2) Niepotrzebnie rozbijasz to na dwa zapytania:
[SQL] pobierz, plaintext 
  1. UPDATE rejestracja SET haslo = 'abc' WHERE login = 'def' AND odpowiedz = 'ghi';
[SQL] pobierz, plaintext
Jeżeli jeden rekord został zaktualizowany (mysql_affected_rows) oznacza to, że zmieniono hasło i odpowiedź pasuje do loginu. Jeżeli żaden rekord nie został zmodyfikowany oznacza to, że login/odpowiedź nie pasują.
gigzorr
23.07.2010, 22:00:04
Cytat(Crozin @ 23.07.2010, 20:59:18 ) *
@zonkerman:
1) Pozwól wykazać się gigzorr-owi, by sobie przemyślał co źle zrobił, a nie dawaj na tacy odpowiedzi
2) mysql_real_escape_string i htmlspecialchars nie mają ze sobą kompletnie nic wspólnego - ich działanie i efekty również w żadnym stopniu się nie pokrywają

@gigzorr: Widzę, że nadal nie udało Ci się przepisać kodu z zachowaniem odpowiednich wcięć - ale przynajmniej poprawiłeś błąd z empty.

1) Dlaczego, gdy pierwsze zapytanie (to z COUNT()) zwróci Ci 1, czyli potwierdzenie, że w bazie danych istnieje podana przez użytkownika odpowiedź do hasła, wyświetlasz komunikat "nie ma takiego użytkownika", skoro jest? Chyba Ci się bloki pomyliły (treść IF powinieneś zamienić z treścią ELSE)
2) Niepotrzebnie rozbijasz to na dwa zapytania:
[SQL] pobierz, plaintext 
  1. UPDATE rejestracja SET haslo = 'abc' WHERE login = 'def' AND odpowiedz = 'ghi';
[SQL] pobierz, plaintext
Jeżeli jeden rekord został zaktualizowany (mysql_affected_rows) oznacza to, że zmieniono hasło i odpowiedź pasuje do loginu. Jeżeli żaden rekord nie został zmodyfikowany oznacza to, że login/odpowiedź nie pasują.



Zrobiłem , tak jak napisałeś z jednym zapytaniem , i działa bez problemu , tylko jeszcze , nie chce żeby zwracalo 1 jak się uda lub 0 jak się nie uda , chce poprostu jak się uda , ze "haslo zostało zmienione" a jak nie to "nastapil blad".probowalem cos takiego:
[PHP] pobierz, plaintext 
  1. $result = mysql_query($query);
  2. if ($result)
  3. {
  4. echo 'haslo zostalo zmienione';
  5. }
  6. else
  7. {
  8. echo 'nastapil blad';
  9. }
[PHP] pobierz, plaintext


ale takie cos to caly czas bedzie wyswietlalo "nastapil blad".

Crozin
23.07.2010, 22:32:08
Nie ma potrzeby cytowania całej wiadomości - więcej... to tylko przeszkadza.

1) Zobacz co zwraca mysql_query()
2) Zobacz co robi mysql_affected_rows()
gigzorr
24.07.2010, 06:53:43
Jestem pewien , iż z rana się lepiej myśli , jeżeli funkcja mysql_affected_rows zwraca 1 lub 0 , to wystarczylo podstawic 
[PHP] pobierz, plaintext 
  1.  
  2. if(mysql_affected_rows() ==1)
  3. {
  4. echo 'zmieniono';
  5. }
  6. else
  7. {
  8. echo 'blad';
  9. }
[PHP] pobierz, plaintext



dziekuje jeszcze raz smile.gif
darophp
24.07.2010, 07:47:49
Offtop.
Kiedyś wyczytałem, że między 8 - 10 człowiek najlepiej myśli, jest pobudzony, ma oczywiście dużo energii i mózg pracuje trochę szybciej tongue.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.