Forum PHP.pl > podmienianie danych przez zalogowanego formularzem

Pomoc - Szukaj - Użytkownicy - Kalendarz

Pełna wersja: podmienianie danych przez zalogowanego formularzem

Th0e

2.10.2012, 14:45:22

Witam. Chciałbym, by osoba zalogowana mogła zmienić swoje hasło, jednak nie mogę się z tym uporać. Po wysłaniu danych tworzy się nowy wiersz w tabeli, w którym jest zawarte wprowadzone nowe hasło.

Oto kod:

[PHP] pobierz, plaintext 
<h3>zmień swoje hasło</h3>
<form method="POST">
<input type="text" name="nowehaslo">
<input type="submit"></form>
 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
mysql_query("INSERT INTO `uzytkownicy` (haslo)VALUES('$nowehaslo')") or die("BŁĄD");
 
?>
[PHP] pobierz, plaintext

Psajkus

2.10.2012, 14:50:40

Cytat

Po wysłaniu danych tworzy się nowy wiersz w tabeli...

Skoro robisz insert'a to nic dziwnego, ze sie tworzy nowy wiersz. Do edycji sluzy UPDATE

Th0e

2.10.2012, 14:51:55

[PHP] pobierz, plaintext 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
mysql_query("UPDATE INTO `uzytkownicy` (haslo)VALUES('$nowehaslo')") or die("BŁĄD");
 
?>
[PHP] pobierz, plaintext

takim sposobem w ogóle nie działa

ixox

2.10.2012, 14:53:46

np tak.

[PHP] pobierz, plaintext 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE uzytkownik='$uzytkownik' ");
[PHP] pobierz, plaintext

Th0e

2.10.2012, 14:56:55

Cytat(ixox @ 2.10.2012, 15:53:46 )

np tak.

[PHP] pobierz, plaintext 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE uzytkownik='$uzytkownik' ");
[PHP] pobierz, plaintext

[PHP] pobierz, plaintext 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE uzytkownik='$uzytkownik' ");
?>
[PHP] pobierz, plaintext

nie działa.

netrat

2.10.2012, 14:57:05

Zapoznaj się z budową update http://dev.mysql.com/doc/refman/5.0/en/update.html nic dziwnego że nie zmienia Ci hasła jesli nie podajesz niczego co by mogło zidentyfikować jakiemu userowi zmieniasz hasło. Skąd SQL ma wiedzieć czy to user o id 1 czy user o id 2 czy jakiekolwiek

poza tym bardzo niebezpieczna jest Twoja konstrukcja. nigdzie nie sprawdzasz co użytkownik Ci wysyła tym postem, mozliwe że to będzie jakieś sql injection ( http://pl.wikipedia.org/wiki/SQL_injection ) czy cokolwiek

nigdy nie ufaj użytkownikom i wszystko co idzie od nich do serwera traktuj podejrzliwie bo Ci walnie jakieś drop database czy coś

Th0e

2.10.2012, 15:01:47

oto screen mojej bazy:

http://gramytu.pl/uploads/imgs/pre_1349186366__screenik.jpg

oto mój plik config, którego używam do łączenia się:

[PHP] pobierz, plaintext 
<?php session_start();
mysql_connect("localhost","root","") or die(mysql_error()."Nie mozna polaczyc sie z baza danych. Prosze chwile odczekac i sprobowac ponownie.");
mysql_select_db("konta") or die(mysql_error()."Nie mozna wybrac bazy danych.");
?>
[PHP] pobierz, plaintext

oto indeks.php - strona dla zalogowanych

[PHP] pobierz, plaintext 
<html>
<head>
<link rel="stylesheet" type="text/css" href="style.css" />
<title>klocuchowo.cba.pl</title>
<meta http-equiv="Content-type" content="text/html; charset=windows-1250" />
</head>
<body>
<center>
<div id=logo>
<a href="index.php"><img src="img/logo.png"></a>
</div>
 
<div id="pasek">
<a href="index.php">Strona Główna</a>&nbsp;
<a href="rejestracja.php">Rejestracja</a>&nbsp;
<a href="admini.php">Administracja</a>&nbsp
<a href="faq.php">FAQ</a>&nbsp;
<a href="logowanie.php">logowanie</a>&nbsp;
</div>
 
</center>
<div id="tlo">
 
 
<?php include("config.php");
$nick = $_SESSION['nick'];
$haslo = $_SESSION['haslo'];
    if ((empty($nick)) AND (empty($haslo))) {
echo '<br>Nie byłeś zalogowany albo zostałeś wylogowany<br><a href="index.php">Strona Główna</a><br>';
exit;
}
$user = mysql_fetch_array(mysql_query("SELECT * FROM uzytkownicy WHERE `nick`='$nick' AND `haslo`='$haslo' LIMIT 1"));
    if (empty($user[id]) OR !isset($user[id])) {
echo '<br>Nieprawidłowe logowanie.<br>';
exit;
}
// tresc dla zalogowanego uzytkownika
echo 'Witaj '.$user[nick].' zostałeś/aś pomyślnie zalogowany/a, tutaj umieść ukryta strone tylko dla zalogowanych';
echo '<br><a href="wyloguj.php">Wyloguj mnie</a>';
 
 
?>
 
<h3>zmień swoje hasło</h3>
<form method="POST">
<input type="text" name="nowehaslo">
<input type="submit"></form>
 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE uzytkownik='$uzytkownik' ");
?>
 
</div></body></html>
[PHP] pobierz, plaintext

ktoś wie jak zrobić by podmieniało to hasło?

ixox

2.10.2012, 15:25:01

[PHP] pobierz, plaintext 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE nick='$_SESSION['nick']' ");
[PHP] pobierz, plaintext

PS. A tak wogóle to po co przechowujesz hasło w Sesji i to jeszcze w sposób jawny?

Th0e

2.10.2012, 16:04:55

uporałem się z tym problemem

[PHP] pobierz, plaintext 
<h3>zmień swoje hasło</h3>
<form method="POST">
<input type="text" name="nowehaslo">
<input type="submit"></form>
 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE nick='$nick' ")or die(mysql_error());
 
?>
[PHP] pobierz, plaintext

działa.

Tyle że dopiero teraz zauważyłem pewien bug - a mianowicie po zalogowaniu się i odświeżeniu strony pokazuje mi "Nieprawidłowe logowanie." i zmienia mi hasło na jedną spacje. potem gdy się zaloguje na takie konto z takim hasłem to mogę odświeżać ile chcę a i tak nie wyloguje mnie / nie zmieni hasła - czyli nic złego się nie stanie.

w poprzednim moim poście zawarłem kod indeks.php , connection.php i SS z bazy danych. Ktoś ma pomysł dlaczego tak się dzieje?

b4rt3kk

3.10.2012, 08:54:30

A nie widzisz czemu tak się dzieje? Masz w indexie:

[PHP] pobierz, plaintext 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE nick='$nick' ")or die(mysql_error());
 
?>
[PHP] pobierz, plaintext

więc zapytanie wykonuje się za KAŻDYM RAZEM gdy odpalasz index.php, jednak przed zalogowaniem zmienna $nick jest pusta, więc nie znajduje takiego rekordu w bazie do aktualizacji, po zalogowaniu w zmiennej $nick jest już prawidłowy nick z bazy, ale $nowehaslo jest ciągle puste, więc zapytanie czyści komórkę z hasłem...

Th0e

3.10.2012, 11:33:06

Cytat(b4rt3kk @ 3.10.2012, 09:54:30 )

A nie widzisz czemu tak się dzieje? Masz w indexie:

[PHP] pobierz, plaintext 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE nick='$nick' ")or die(mysql_error());
 
?>
[PHP] pobierz, plaintext

dzięki

a już miałem porzucić ten skrypt

Przeprawiłem to na takie coś:

[PHP] pobierz, plaintext 
<h3>zmień swoje hasło</h3>
<form method="POST">
<input type="text" name="nowehaslo">
<input type="submit"></form>
 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
if(!empty ($nowehaslo)){
 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE nick='$nick' ")or die(mysql_error());
}
else {
echo "zalecane jest ustawienie trudnego hasła.";
}
?>
[PHP] pobierz, plaintext

i wszytko działa jak powinno

------------

Mam jeszcze kilka drobnych pytań. Dał by ktoś gotowe komendy na pobieranie danych z bazy do tablicy zmiennej globalnej SESSION, oraz na wysyłanie?

b4rt3kk

3.10.2012, 11:50:12

Przecież chyba wiesz w jaki sposób pobierać dane z bazy?

[PHP] pobierz, plaintext 
$mysqli = new mysqli('host', 'user', 'pass', 'name');
$result = $mysqli -> $query('SELECT * FROM tabela');
while ($row = $result -> fetch_row()) print_r($row); // wyświetlenie wyników zapytania
[PHP] pobierz, plaintext

więc nie powinno być problemem zastosowanie zwykłego podstawienia:

[PHP] pobierz, plaintext 
while ($row = $result -> fetch_row()) {
  $_SESSION['costam'] = $row[0];
  $_SESSION['costam1'] = $row[1];
  // itd.
}
[PHP] pobierz, plaintext

Swoją drogą hasła powinny być hashowane, przy tak dziurawym skrypcie prawdopodobieństwo wycieku jest bardzo duże, a to zawsze jakieś zabezpieczenie, przy zmianie hasła przyjęło się podawanie starego hasła w celu potwierdzenia, czy np. ktoś się nie zapomniał wylogować i po nim ktoś siada i mu zmienia hasło. Przydałoby się też sprawdzanie długości nowego hasła i ustalenie jakiegoś minimum znaków (np. 5).

Spróbuj proszę zmienić hasło i w pole nowego hasła wpisać coś takiego: 1' DROP TABLE uzytkownicy --

Th0e

3.10.2012, 12:22:50

wpisałem w hasło 1' DROP TABLE uzytkownicy --

to po prostu ustawiło mi takie hasło , tylko że się teraz na takie konto zalogować nie mogę

musiałem w SQL wykonać

[SQL] pobierz, plaintext 
UPDATE `uzytkownicy` SET haslo='nowehaselko' WHERE nick='Th0e'
[SQL] pobierz, plaintext

Postanowiłem uczyć się od podstaw, tutaj coś znalazlem:
http://php.pl/phppl/Wortal/Artykuly/PHP/Po...anie-informacji

jak myślicie to dobry tut? sposoby łączenia się z bazą danych preferowane przez autora tego kursu są mniej wygodne, od tych, które stosuje ja.

próbowałem wyświetlić dane takim sposobem i oczywiście że nie działa bo to mój sposób

[PHP] pobierz, plaintext 
$pokazniczek = mysql_query("SELECT `nick` FROM `uzytkownicy` WHERE nick='$nick' ")or die(mysql_error());
echo "twój nick to ". $pokazniczek ."";
[PHP] pobierz, plaintext

błąd

Kod

Resource id #5

CuteOne

3.10.2012, 12:48:02

Zamiast spamować na forum lepiej weź do ręki porządną książkę traktującą o PHP, MySQL i podobnych. Ewentualnie jeżeli nie masz takowej poszukaj na necie tutoriali dla początkujących.

ps. mysql_fetch_*

To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.