Pomoc - Szukaj - Użytkownicy - Kalendarz
Pełna wersja: [PHP][MySQL]Skrypt przypomnienia hasła
Forum PHP.pl > Forum > Przedszkole
adrianozo
12.10.2010, 20:26:48
Witam.
Napisałem jakiś tam skrypt przypomnienia(wygenerowania nowego hasła)
Chciałbym się dowiedzieć co tutaj z nim jest nie tak. Wszystko działa tylko może coś źle obmyśliłem?
Proszę o porady.

[PHP] pobierz, plaintext 
  1. <?php
  2. $email = strip_tags(htmlspecialchars(stripslashes(trim(mysql_real_escape_string($_POST['email'])))));
  3. if(isset($_POST['email']))
  4. {
  5.     echo '<div align="center"><form action="index.php?page=lostpassword" method="post">
  6.     <input type="hidden" name="send" value="1">
  7.     <br />Podaj adres email:<input type="text" name="email" value="'.$_POST['email'].'" /><br /><br />
  8.     <input class="przycisk_admin" name="reset" type="submit" value="Resetuj hasło">
  9.     </form><br /><br /></div>';
  10. }
  11. else
  12. {
  13.     echo '<div align="center"><form action="index.php?page=lostpassword" method="post">
  14.     <input type="hidden" name="send" value="1">
  15.     <br />Podaj adres email:<input type="text" name="email" /><br /><br />
  16.     <input class="przycisk_admin" name="reset" type="submit" value="Resetuj hasło">
  17.     </form><br /><br /></div>';
  18. }
  19. if(isset($_POST['reset'])) 
  20. {
  21.     $zapytanie = mysql_query("SELECT * FROM `user` WHERE `email` = '".$_POST['email']."'");
  22.     if(!$_POST["email"] || !preg_match("/^[-0-9a-zA-Z_\.]+@([-0-9a-zA-Z_\.]+\.)+([0-9a-zA-Z]){2,4}$/i", $_POST["email"]))
  23.     {
  24.         echo '<font color="red">Podany email jest nieprawidłowy.</font><br />';
  25.     }
  26.     elseif(!mysql_num_rows($zapytanie)) 
  27.     {
  28.         echo 'Nie znaleziono takiego adresu email!';
  29.     }
  30.     else
  31.     {
  32.         while($wiersz = mysql_fetch_array($zapytanie))
  33.         {
  34.             $email = $wiersz['email'];
  35.         }
  36.         $haslo = substr(md5(date("d.m.Y.H.i.s").rand(1,1000000)) , 0 , 10);
  37.         $kod = str_shuffle("qwertyuiopasdfghjklzxcvbnm1234567890");
  38.         $nowehaslo = "INSERT INTO `hasla` (`email`, `haslo`, `klucz`) VALUES ('".$email."', '".$haslo."', '".$kod."')";
  39.         $idnowehaslo = mysql_query($nowehaslo) or die(mysql_error());
  40.         $naglowki = 'MIME-Version: 1.0' . "\r\n";
  41.         $naglowki .= 'Content-type: text/html; charset=utf-8' . "\r\n";
  42.         $naglowki .= 'To: <>' . "\r\n";
  43.         $naglowki .= 'From: <gazetka.sieniu.czest.pl>' . "\r\n";
  44.         mail($email, 'Przypomnienie hasła na gazetka.sieniu.czest.pl', '<html><body><br /><b>Witaj <b>'.$loginek.'</b>!<br /><br /><br />Na koncie <b>'.$loginek.'</b> zostało zresetowane hasło.<br /><b>Nowe hasło brzmi: '.$haselko.'</b><br /><br />W celu potwierdzenia zmiany hasła kliknij w poniższy odnośnik:<br /><a href="http://gazetka4lo.cba.pl/index.php?page=lostpassword&code='.$kod.'">http://gazetka4lo.cba.pl/index.php?page=lostpassword&code='.$kod.'</a><br /><br />Jeśli nie resetowałeś hasła na koncie <b>'.$loginek.'</b> po prostu zignoruj tego maila.<br /><br /><br />------<br />Wiadomość wygenerowana automatycznie<br />przez serwis gazetka.sieniu.czest.pl</body></html>', $naglowki);
  45.         if($idnowehaslo === TRUE)
  46.         {
  47.             echo 'Nowe hasło zostało wysłane na podany adres email!';
  48.         }
  49.         else
  50.         {
  51.             echo 'Nie udało się zresetować hasła.<br />Prosimy spróbować ponownie za jakiś czas!';
  52.         }
  53.     }
  54. }
  55. if(isset($_GET['code']))
  56. {
  57.     if($_GET['code'])
  58.     {
  59.         $klucz = strip_tags(htmlspecialchars(stripslashes(trim(mysql_real_escape_string($_GET['code'])))));
  60.         $zap = mysql_query("SELECT * FROM `hasla` WHERE `klucz`= '".$klucz."'");
  61.         while($wiersz = mysql_fetch_array($zap))
  62.         {
  63.         $emailii = $wiersz['email'];
  64.         $haslii = strip_tags(htmlspecialchars(stripslashes(trim(mysql_real_escape_string(md5(sha1($wiersz['haslo'])))))));
  65.         }
  66.         $zapytanie = mysql_query("UPDATE `user` SET `haslo` = '".$haslii."' WHERE `email` = '".$emailii."'") or die(mysql_error());
  67.         if(mysql_affected_rows()==1)
  68.         {
  69.             echo '<div align="center"><br /><font color="green"><b>Aktywacja nowego hasła ukończona pomyślnie. Możesz już korzystać z naszego serwisu.<br /><a style="text-decoration: none;" href="index.php">Przejdź do logowania</a></b></font><br /><br /></div>';
  70.         }
  71.         elseif(mysql_affected_rows()==0)
  72.         {
  73.             echo '<div align="center"><br /><font color="orange"><b>Podane hasło jest już aktywne.</b></font><br /><br /></div>';
  74.         }
  75.         else
  76.         {
  77.             echo '<div align="center"><br /><font color="red"><b>Podano nieistniejący kod aktywacyjny.</b></font><br /><br /></div>';
  78.         }
  79.     }
  80. }
  81. ?>
[PHP] pobierz, plaintext
Otto
12.10.2010, 21:27:58
Nowe hasło jest od razu generowane i kodowane w md5 i nigdy nie jest gdzie indziej zapisywane więc skąd użytkownik ma wiedzieć jakie dostał hasło? Niby w mailu dostaje wiadomość z nowym hasłem ale zmienna $hasełko nigdzie nie jest ustawiana. Proponowałbym dać możliwość ustawienia własnego nowego hasła.
adrianozo
13.10.2010, 15:47:37
Już poprawiłem. Później będzie miał użytkownik możliwość zmiany hasła na swoje w swoim panelu.

[PHP] pobierz, plaintext 
  1. <?php
  2. $email = strip_tags(htmlspecialchars(stripslashes(trim(mysql_real_escape_string($_POST['email'])))));
  3. if(isset($_POST['email']))
  4. {
  5.     echo '<div align="center"><form action="index.php?page=lostpassword" method="post">
  6.     <input type="hidden" name="send" value="1">
  7.     <br />Podaj adres email:<input type="text" name="email" value="'.$_POST['email'].'" /><br /><br />
  8.     <input class="przycisk_admin" name="reset" type="submit" value="Resetuj hasło">
  9.     </form><br /><br /></div>';
  10. }
  11. else
  12. {
  13.     echo '<div align="center"><form action="index.php?page=lostpassword" method="post">
  14.     <input type="hidden" name="send" value="1">
  15.     <br />Podaj adres email:<input type="text" name="email" /><br /><br />
  16.     <input class="przycisk_admin" name="reset" type="submit" value="Resetuj hasło">
  17.     </form><br /><br /></div>';
  18. }
  19. if(isset($_POST['reset'])) 
  20. {
  21.     $zapytanie = mysql_query("SELECT * FROM `user` WHERE `email` = '".$_POST['email']."'");
  22.     if(!$_POST["email"] || !preg_match("/^[-0-9a-zA-Z_\.]+@([-0-9a-zA-Z_\.]+\.)+([0-9a-zA-Z]){2,4}$/i", $_POST["email"]))
  23.     {
  24.         echo '<font color="red">Podany email jest nieprawidłowy.</font><br />';
  25.     }
  26.     elseif(!mysql_num_rows($zapytanie)) 
  27.     {
  28.         echo 'Nie znaleziono takiego adresu email!';
  29.     }
  30.     else
  31.     {
  32.         while($wiersz = mysql_fetch_array($zapytanie))
  33.         {
  34.             $email = $wiersz['email'];
  35.             $loginek = $wiersz['loginek'];
  36.         }
  37.         $haslo = substr(md5(date("d.m.Y.H.i.s").rand(1,1000000)) , 0 , 10);
  38.         $kod = str_shuffle("qwertyuiopasdfghjklzxcvbnm1234567890");
  39.         $nowehaslo = "INSERT INTO `hasla` (`email`, `haslo`, `klucz`) VALUES ('".$email."', '".$haslo."', '".$kod."')";
  40.         $idnowehaslo = mysql_query($nowehaslo) or die(mysql_error());
  41.         $naglowki = 'MIME-Version: 1.0' . "\r\n";
  42.         $naglowki .= 'Content-type: text/html; charset=utf-8' . "\r\n";
  43.         $naglowki .= 'To: <>' . "\r\n";
  44.         $naglowki .= 'From: <gazetka.sieniu.czest.pl>' . "\r\n";
  45.         mail($email, 'Przypomnienie hasła na gazetka.sieniu.czest.pl', '<html><body><br />Witaj <b>'.$loginek.'</b>!<br /><br /><br />Na koncie <b>'.$loginek.'</b> zostało zresetowane hasło.<br /><b>Nowe hasło brzmi: '.$haslo.'</b><br /><br />W celu potwierdzenia zmiany hasła kliknij w poniższy odnośnik:<br /><a href="http://gazetka4lo.cba.pl/index.php?page=activepassword&code='.$kod.'">http://gazetka4lo.cba.pl/index.php?page=activepassword&code='.$kod.'</a><br /><br />Jeśli nie resetowałeś hasła na koncie <b>'.$loginek.'</b> po prostu zignoruj tego maila.<br /><br /><br />------<br />Wiadomość wygenerowana automatycznie<br />przez serwis gazetka.sieniu.czest.pl</body></html>', $naglowki);
  46.         if($idnowehaslo === TRUE)
  47.         {
  48.             echo 'Nowe hasło zostało wysłane na podany adres email!
  49.             <meta http-equiv="refresh" content="1;url=http://gazetka4lo.cba.pl">';
  50.         }
  51.         else
  52.         {
  53.             echo 'Nie udało się zresetować hasła.<br />Prosimy spróbować ponownie za jakiś czas!';
  54.         }
  55.     }
  56. }
  57. ?>
[PHP] pobierz, plaintext


Aktywacja jest w osobnym pliku

[PHP] pobierz, plaintext 
  1. <?php
  2. if(isset($_GET['code']))
  3. {
  4.     if($_GET['code'])
  5.     {
  6.         $klucz = strip_tags(htmlspecialchars(stripslashes(trim(mysql_real_escape_string($_GET['code'])))));
  7.         $zap = mysql_query("SELECT * FROM `hasla` WHERE `klucz`= '".$klucz."'");
  8.         while($wiersz = mysql_fetch_array($zap))
  9.         {
  10.         $emailii = $wiersz['email'];
  11.         $haslii = strip_tags(htmlspecialchars(stripslashes(trim(mysql_real_escape_string(md5(sha1($wiersz['haslo'])))))));
  12.         }
  13.         $zapytanie = mysql_query("UPDATE `user` SET `haslo` = '".$haslii."' WHERE `email` = '".$emailii."'") or die(mysql_error());
  14.         if(mysql_affected_rows()==1)
  15.         {
  16.             echo '<div align="center"><br /><font color="green"><b>Aktywacja nowego hasła ukończona pomyślnie. Możesz już korzystać z naszego serwisu.<br /><a style="text-decoration: none;" href="index.php">Przejdź do logowania</a></b></font><br /><br /></div>';
  17.             $zapyt = mysql_query("DELETE FROM `hasla` WHERE `email`='".$emailii."'");
  18.         }
  19.         else
  20.         {
  21.             echo '<div align="center"><br /><font color="red"><b>Podano nieistniejący kod aktywacyjny.</b></font><br /><br /></div>';
  22.         }
  23.     }
  24. }
  25. ?>
[PHP] pobierz, plaintext
Otto
13.10.2010, 18:55:02 
[PHP] pobierz, plaintext 
  1.     $haslo = substr(md5(date("d.m.Y.H.i.s").rand(1,1000000)) , 0 , 10);
  2.         $kod = str_shuffle("qwertyuiopasdfghjklzxcvbnm1234567890");
  3.         $nowehaslo = "INSERT INTO `hasla` (`email`, `haslo`, `klucz`) VALUES ('".$email."', '".$haslo."', '".$kod."')";
  4.         $idnowehaslo = mysql_query($nowehaslo) or die(mysql_error());
  5.         $naglowki = 'MIME-Version: 1.0' . "\r\n";
  6.         $naglowki .= 'Content-type: text/html; charset=utf-8' . "\r\n";
  7.         $naglowki .= 'To: <>' . "\r\n";
  8.         $naglowki .= 'From: <gazetka.sieniu.czest.pl>' . "\r\n";
  9.         mail($email, 'Przypomnienie hasła na gazetka.sieniu.czest.pl', '<html><body><br />Witaj <b>'.$loginek.'</b>!<br /><br /><br />Na koncie <b>'.$loginek.'</b> zostało zresetowane hasło.<br /><b>Nowe hasło brzmi: '.$haslo.'</b>
[PHP] pobierz, plaintext


Pierw kodujesz hasło w md5 potem zakodowane wysyłasz do użytkownika? Trochę to bez sensu tongue.gif
adasiu
13.10.2010, 19:00:41
Cytat(Otto @ 13.10.2010, 19:55:02 ) *
[PHP] pobierz, plaintext 
  1.     $haslo = substr(md5(date("d.m.Y.H.i.s").rand(1,1000000)) , 0 , 10);
  2.         $kod = str_shuffle("qwertyuiopasdfghjklzxcvbnm1234567890");
  3.         $nowehaslo = "INSERT INTO `hasla` (`email`, `haslo`, `klucz`) VALUES ('".$email."', '".$haslo."', '".$kod."')";
  4.         $idnowehaslo = mysql_query($nowehaslo) or die(mysql_error());
  5.         $naglowki = 'MIME-Version: 1.0' . "\r\n";
  6.         $naglowki .= 'Content-type: text/html; charset=utf-8' . "\r\n";
  7.         $naglowki .= 'To: <>' . "\r\n";
  8.         $naglowki .= 'From: <gazetka.sieniu.czest.pl>' . "\r\n";
  9.         mail($email, 'Przypomnienie hasła na gazetka.sieniu.czest.pl', '<html><body><br />Witaj <b>'.$loginek.'</b>!<br /><br /><br />Na koncie <b>'.$loginek.'</b> zostało zresetowane hasło.<br /><b>Nowe hasło brzmi: '.$haslo.'</b>
[PHP] pobierz, plaintext


Pierw kodujesz hasło w md5 potem zakodowane wysyłasz do użytkownika? Trochę to bez sensu tongue.gif


Na mój gust to tu nigdzie hasło kodowane nie jest tylko tworzone nowe. Faktem jest, że nie jest haszowane...
Otto
13.10.2010, 20:31:41
A no masz racje tongue.gif Nie uważnie przeczytałem kod biggrin.gif
adrianozo
13.10.2010, 21:05:58
Hasło haszowane jest po kliknięciu w link z email smile.gif
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.
Invision Power Board © 2001-2025 Invision Power Services, Inc.