Ostatnio chciałem zrobić u siebie w serwisie opcję do zmiany hasła więc zrobiłem sobie form'a

[HTML] pobierz, plaintext 
Zmiana Hasła: 
<BR><BR><fieldset>
<form action='' method='post'>
Nowe Hasło:<input type='password' name='password'><BR><BR>
Powtórz Hasło:<input type='password' name='password2'><BR><BR>
<input type='submit' name='submit' value='Zmień'>
</form>
</fieldset>
[HTML] pobierz, plaintext 

Teraz zrobiłem taki skrypcik php:

[PHP] pobierz, plaintext 
<?php
if ($_POST['password']==$_POST['password2']){
  $zapyt=mysql_query("SELECT `id`, `login` FROM `users` WHERE `login` = '$nick'");
  $wynik=mysql_fetch_array($zapyt);
  $id=$wynik["id"];
  $change = "UPDATE `db570085`.`users` SET `haslo` = '$password2' WHERE `users`.`id` =$id LIMIT 1";
  }else{
   echo 'Wpisałeś dwa rózne hasła<BR>'; }
   if (@mysql_query ($change)) {
			  echo "Gratulujemy $nick twoje hasło zostało zmienione";
			  } else {
			  echo "Error"; }
?>
[PHP] pobierz, plaintext 

niestety coś chyba z nim nie tak, ponieważ zmiana hasła nie działa poprawnie, zaznaczam że zmienna $nick jest zdefiniowana wcześniej).

Co zrobiłem nie tak? czekam na odpowiedź

Po pierwsze formularz gdzie wysyłasz? Jeśli masz action puste to skrypt wie tylko tyle, że ma nie robić żadnej akcji.

Mniemam, że $id jak $nick masz wcześniej zdefiniowane? a do $password masz wpisaną zmienną z $_POST?

Załuzmy że mam podstronę settings.php i na niej jest ten form:
z tego co wiem to

<form action=''>oznacza to samo co np: <form action='settings.php '>

Piszę tak bo mi wpadlo już w nawyk ;]. fakt faktem że to w tym przypadku jest zbedne :]

A co do php, faktycznie nie zdefiniowałem zmiennej $password ;pp
na prostej rzeczy się wyłozyć ;/

zaraz sprawdzę i dam edita

Tak na marginesie - zawsze wykona Ci zapytanie do bazy, tylko w przypadku różnych haseł zapytanie będzie puste. Masz wyłączone raportowanie błędow przy zapytaniu, więc tego nie widzisz.

@up, co powienienem zrobić?

edit: zmiana hasła działa, tylko teraz problem z tym co Shili mówiłeś, proszę o odpowiedz

a tak nawiasem twój kod jest podatny na SQL Injection...

@ <- znak małpy (@). Jeśli znak ten zostanie postawiony przed dowolnym wyrażeniem w PHP, jakiekolwiek powiadomienia o błędach wygenerowane przez to wyrażenie zostaną pominięte (nie będą wyświetlone).

Po drugie warunki masz faktycznie dziwne. W ten sposób jak masz wywołujesz zbędnie pustą funkcję..

pyro - wiem już właśnie zabezpieczyłem się:

[PHP] pobierz, plaintext 
<?php
$pass1 = htmlspecialchars($_POST['password'], ENT_QUOTES);
$pass2 = htmlspecialchars($_POST['password2'], ENT_QUOTES);
?>
[PHP] pobierz, plaintext 

nithajasz - zaraz coś pokombinuję, mógłbyś mi pokazać co jest źle? czy mam sam próbować ?

[b]Reptile ReX[/b], twój kod nadal jest podatny na SQL Injection

Jak?, gdzie?, kiedy?

zapytanie włóż w ifa ze zgodnymi hasłami - wykona się tylko dla zgodnych haseł.

http://pl.wikipedia.org/wiki/SQL_injection - proponuję tą funkcję mysql
Na razie zabezpieczyłeś się przed code injection

aaa sorry, zauważyłem tylko htmlspecialchars, nbie zauważyłem ENT_QUOTES

[PHP] pobierz, plaintext 
<?php
if ($_POST['password']==$_POST['password2'])
{
	$zapyt=mysql_query("SELECT `id`, `login` FROM `users` WHERE `login` = '$nick'");
	$wynik=mysql_fetch_array($zapyt);
	$id=$wynik["id"];
	$change = "UPDATE `db570085`.`users` SET `haslo` = '$password2' WHERE `users`.`id` =$id LIMIT 1";
	if (mysql_query ($change)) {
			  echo "Gratulujemy $nick twoje hasło zostało zmienione";
	} else {
			  echo "Error"; 
	}
} else {
   echo 'Wpisałeś dwa rózne hasła<BR>'; 
}
?>
[PHP] pobierz, plaintext 

Hmm jakby nie było "ENT_QUOTES" trzeba było by zrobić tak?:

[PHP] pobierz, plaintext 
<?php
$change = mysql_real_escape_string("UPDATE `db570085`.`users` SET `haslo` = '$password2' WHERE `users`.`id` =$id LIMIT 1");
?>
[PHP] pobierz, plaintext 

to by wystarczyło?

nithajasz - dzięki wielkie

mysql_real_escape_string() daje sie na zmienne z zapytan z sql nie na cale zapytanie