Witam,
mam problem. Mam skrypt, który zmienia hasło. Fajnie ale jest tylko jedno pole "Nowe hasło" i nawet nie sprawdza czy stare hasło się zgadza.
oto skrypt:

[PHP] pobierz, plaintext 
<?php
session_start();
 
require 'header.php'; // Dołącz początkowy kod HTML
require 'config.php'; // Dołącz plik konfiguracyjny i połączenie z bazą
require_once 'user.class.php';
 
/**
 * Sprawdź czy formularz został wysłany
 */
if ($_POST['send'] == 1) {
    // Zabezpiecz dane z formularza przed kodem HTML i ewentualnymi atakami SQL Injection
    $pass = mysql_real_escape_string(htmlspecialchars($_POST['pass']));
 
	// Zapisz dane użytkownika o podanym ID, do zmiennej $profile
    $id = $_GET['id'];
 
	/**
     * Jeśli wystąpiły jakieś błędy, to je pokaż
     */
    if ($errors != '') {
        echo '<p class="error">Zmiana hasła nie powiodła się:<br />'.$errors.'</p>';
    }
 
    else {
	// Posól i zasahuj hasło
    $pass = user::passSalter($pass);
	// Zapisz dane do bazy
    mysql_query("UPDATE `users` SET `id`='$id',`pass`='$pass' WHERE 1;") or die ('<p class="error">Wystąpił błąd podczas zmiany hasła.</p>');
	echo '<p class="success">Hasło zostało poprawnie zmienione</p>';
	}
}
	?>
 
<?php
if (user::isLogged()) {
	echo '<center><form method="post" action="">
	<label for="pass">Nowe hasło:</label>
 <input maxlength="32" type="password" name="pass" id="pass" />
 <input type="hidden" name="send" value="1" />
 <input type="submit" value="Zmień" />
</form></br>
 <a href="panel.php">Wróć do panelu</a>';
}
 
else {
 
    echo 'Funkcja dostępna tylko dla zalogowanych. <a href="index.php">Logowanie</a>';
}
 
?>
[PHP] pobierz, plaintext 

W czym potrzebuję pomocy?
Chcę aby było nowe pole "Stare hasło" i będzie trzeba je uzupełnić i jeżeli hasło będzie zgodne z tym w bazie to hasło zmienia się na hasło z pola "nowe hasło".
Chyba dokładnie wyjaśniłem. Chodzi mi tylko o funkcje sprawdzania hasła w bazie i przepuszczania, bo dodanie pola do formularza to nie problem.
Mam nadzieję że dobrze wyjaśniłem.

Pozdrawiam.

Masz w klasie do logowania sprawdzanie hasła, wystarczy skopiować część odpowiedzialną za sprawdzanie hasła i voila.

Zrobiłem tak jak napisałeś i niestety źle to wychodzi ;/
Owszem działało że zmienia hasło jeżeli stare się zgadza ale zmieniało na hasło źle posolone i nie dało się zalogować tym nowym hasłem :/

Oto edytowany skrypt:

[PHP] pobierz, plaintext 
<?php
session_start();
 
 
require 'header.php'; // Dołącz początkowy kod HTML
require 'config.php'; // Dołącz plik konfiguracyjny i połączenie z bazą
require_once 'user.class.php';
 
/**
 * Sprawdź czy formularz został wysłany
 */
if ($_POST['send'] == 1) {
    // Zabezpiecz dane z formularza przed kodem HTML i ewentualnymi atakami SQL Injection
    $pass = mysql_real_escape_string(htmlspecialchars($_POST['pass']));
 
	// Zapisz dane użytkownika o podanym ID, do zmiennej $profile
    $id = $_GET['id'];
 
	// Posól i zasahuj hasło
    $pass = user::passSalter($pass);
	// Posól i zasahuj hasło
    $newpass = user::passSalter($newpass);
 
	/**
     * Jeśli wystąpiły jakieś błędy, to je pokaż
     */
    if ($errors != '') {
        echo '<p class="error">Zmiana hasła nie powiodła się:<br />'.$errors.'</p>';
    }
 
	// Sprawdź, czy użytkownik o podanym haśle isnieje w bazie danych
    $userExists = mysql_fetch_array(mysql_query("SELECT COUNT(*) FROM users WHERE id = '$id' AND  pass = '$pass'"));
 
    if ($userExists[0] == 0) {
        // Użytkownik nie istnieje w bazie
        echo '<center><p class="error">Hasło nie zostało zmienione - podałeś złe hasło!</p></center>';
    }
 
    else {
 
	// Zapisz dane do bazy
    mysql_query("UPDATE `users` SET `id`='$id',`pass`='$newpass' WHERE 1;") or die ('<p class="error">Wystąpił błąd podczas zmiany hasła.</p>');
	echo '<p class="success">Hasło zostało poprawnie zmienione</p>';
	}
}
	?>
 
<?php
if (user::isLogged()) {
	echo '<center><form method="post" action="">
	<label for="pass">Stare hasło:</label>
 <input maxlength="32" type="password" name="pass" id="pass" />
	<label for="newpass">Nowe hasło:</label>
 <input maxlength="32" type="password" name="newpass" id="newpass" />
 <input type="hidden" name="send" value="1" />
 <input type="submit" value="Zmień" />
</form></br>
 <a href="panel.php">Wróć do panelu</a>';
}
 
else {
 
    echo 'Funkcja dostępna tylko dla zalogowanych. <a href="index.php">Logowanie</a>';
}
 
?>
[PHP] pobierz, plaintext 

A co w tym złego że nowe hasło ma sól? wywal wtedy to

[PHP] pobierz, plaintext 
$newpass = user::passSalter($newpass);
[PHP] pobierz, plaintext 

choć to ryzykowne.

Nic złego. Nie o to chodziło.
Jest coś źle w kodzie. Wpisuje stare hasło, ono się zgadza, więc zmienia hasło na nowe.
Zmieniając hasło na nowe ono się soli, ale chyba coś idzie nie tak, ponieważ zamiast zmienić to hasło na nowe poprawnie posolone wychodzi źle i przez to nie mogę się zalogować ponownie do panelu - muszę zmieniać hasło ręcznie w PhpMyAdmin.

Zapis do bazy jest poprawny?

[PHP] pobierz, plaintext 
	// Zapisz dane do bazy
mysql_query("UPDATE `users` SET `id`='$id',`pass`='$newpass' WHERE 1;") 
[PHP] pobierz, plaintext 

przypisujesz każdemu userowi to samo id (w postaci stringu) i nowe hasło.

Tak jest poprawny. Jeżeli wywalę sprawdzanie starego hasła i zostanie tylko ustawienie nowego to wszystko dobrze się zmienia w bazie. Problem jest ze sprawdzaniem nowego + jego soleniem.
Id jest pobierane z adresu, a przed wejściem na stronę zmiany hasła zostaje pobrane id z bazy danych.

no skoro jesteś pewien, że ten zapis jest ok:

[PHP] pobierz, plaintext 
 mysql_query("UPDATE `users` SET `id`='$id',`pass`='$newpass' WHERE 1;")
[PHP] pobierz, plaintext 

i nic nie da jak zamienisz na ten kod:

[PHP] pobierz, plaintext 
 mysql_query("UPDATE `users` SET `pass`='$newpass' WHERE `id`='$id';")
[PHP] pobierz, plaintext 

Okej, zgadzam się, twoje zapytanie jest poprawne. Ale moje działało i myślałem że jest dobrze, a ja dopiero zaczynam. Dostajesz pomógł
No ale czemu nowe hasło źle się soli i potem nie można się zalogować?

soli się dobrze ale robisz coś niedobrego z id w tabelce users, id to pewnie primary key więc to zapytanie robi mniej więcej taki błąd (mysql)

[SQL] pobierz, plaintext 
UPDATE User SET idUser=1 WHERE idUser=2;
ERROR 1557 (23000): Upholding FOREIGN KEY constraints FOR TABLE 'User', entry '1', KEY 1 would lead TO a duplicate entry
[SQL] pobierz, plaintext 

chcesz nadać wszystkim id tą samą liczbę, a nie wolno.
http://www.w3schools.com/sql/sql_primarykey.asp#gsc.tab=0

Moze nie poprawnie zapisujesz? Tzn. moze haslo wygenerowane przez Ciebie nie ma takiego samego algorytmu sprawdzania jak haslo uzywane do logowania?

Raczej nie, wszystko jest chyba dobrze użyte. Sprawdzałem plik logowania i tworzenia użytkownika i wykorzystywałem tamte funkcje.
Jak napisałem skrypt z podaniem tylko nowego hasła bez sprawdzania starego wszystko dobrze się zmienia.
A oto ten skrypt:

[PHP] pobierz, plaintext 
<?php
session_start();
 
require 'header.php'; // Dołącz początkowy kod HTML
require 'config.php'; // Dołącz plik konfiguracyjny i połączenie z bazą
require_once 'user.class.php';
 
/**
 * Sprawdź czy formularz został wysłany
 */
if ($_POST['send'] == 1) {
    // Zabezpiecz dane z formularza przed kodem HTML i ewentualnymi atakami SQL Injection
    $pass = mysql_real_escape_string(htmlspecialchars($_POST['pass']));
 
	// Zapisz dane użytkownika o podanym ID, do zmiennej $profile
    $id = $_GET['id'];
 
	/**
     * Jeśli wystąpiły jakieś błędy, to je pokaż
     */
    if ($errors != '') {
        echo '<p class="error">Zmiana hasła nie powiodła się:<br />'.$errors.'</p>';
    }
 
    else {
	// Posól i zasahuj hasło
    $pass = user::passSalter($pass);
	// Zapisz dane do bazy
    mysql_query("UPDATE `users` SET `pass`='$newpass' WHERE `id`='$id';") or die ('<p class="error">Wystąpił błąd podczas zmiany hasła.</p>');
	echo '<p class="success">Hasło zostało poprawnie zmienione</p>';
	}
}
	?>
 
<?php
if (user::isLogged()) {
	echo '<center><form method="post" action="">
	<label for="pass">Hasło:</label>
 <input maxlength="32" type="password" name="pass" id="pass" />
 <input type="hidden" name="send" value="1" />
 <input type="submit" value="Zmień" />
</form></br>
 <a href="panel.php">Wróć do panelu</a>';
}
 
else {
 
    echo 'Funkcja dostępna tylko dla zalogowanych. <a href="index.php">Logowanie</a>';
}
 
?>
[PHP] pobierz, plaintext 

A to skrypt z sprawdzaniem starego hasła i jeżeli ono się zgadza to zmienia na nowe - no i tu jest problem bo zapisuje jakoś inaczej zakodowane hasło (nie wiem czemu).
Oto kod:

[PHP] pobierz, plaintext 
<?php
session_start();
 
require 'header.php'; // Dołącz początkowy kod HTML
require 'config.php'; // Dołącz plik konfiguracyjny i połączenie z bazą
require_once 'user.class.php';
 
/**
 * Sprawdź czy formularz został wysłany
 */
if ($_POST['send'] == 1) {
    // Zabezpiecz dane z formularza przed kodem HTML i ewentualnymi atakami SQL Injection
    $pass = mysql_real_escape_string(htmlspecialchars($_POST['pass']));
 
	// Zapisz dane użytkownika o podanym ID, do zmiennej $profile
    $id = $_GET['id'];
 
	// Posól i zasahuj hasło
    $pass = user::passSalter($pass);
	// Posól i zasahuj hasło
    $newpass = user::passSalter($newpass);
 
	/**
     * Jeśli wystąpiły jakieś błędy, to je pokaż
     */
    if ($errors != '') {
        echo '<p class="error">Zmiana hasła nie powiodła się:<br />'.$errors.'</p>';
    }
 
	// Sprawdź, czy użytkownik o podanym haśle isnieje w bazie danych
    $userExists = mysql_fetch_array(mysql_query("SELECT COUNT(*) FROM users WHERE id = '$id' AND  pass = '$pass'"));
 
    if ($userExists[0] == 0) {
        // Użytkownik nie istnieje w bazie
        echo '<center><p class="error">Hasło nie zostało zmienione - podałeś złe hasło!</p></center>';
    }
 
    else {
 
	// Zapisz dane do bazy
    mysql_query("UPDATE `users` SET `pass`='$newpass' WHERE `id`='$id';") or die ('<p class="error">Wystąpił błąd podczas zmiany hasła.</p>');
	echo '<p class="success">Hasło zostało poprawnie zmienione</p>';
	}
}
	?>
 
<?php
if (user::isLogged()) {
	echo '<center><form method="post" action="">
	<label for="pass">Stare hasło:</label>
 <input maxlength="32" type="password" name="pass" id="pass" />
	<label for="newpass">Nowe hasło:</label>
 <input maxlength="32" type="password" name="newpass" id="newpass" />
 <input type="hidden" name="send" value="1" />
 <input type="submit" value="Zmień" />
</form></br>
 <a href="panel.php">Wróć do panelu</a>';
}
 
else {
 
    echo 'Funkcja dostępna tylko dla zalogowanych. <a href="index.php">Logowanie</a>';
}
 
?>
[PHP] pobierz, plaintext 

W pierwszym skrypcie zapisujesz hasło ze zmiennej której nie ma?

Nie, nie, nie. Źle skopiowałem, zamiast $newpass, powinno być $pass.

To od początku, co zawiera $pass i $newpass jak potraktujesz je var_dump()? Są takie same?

Stare hasło "jakub"
Nowe hasło "jakub12345"
oto wyniki:
string(32) "c0ed90994f83f030a847e90e21903b6f"
string(32) "c7769ba163acebdf13ab5a232ab73a6a"
Niestety, jeżeli chcę się zalogować poprzez hasło "jakub12345" nie mogę, ponieważ niby podałem złe hasło.

I to jest w bazie, w tabeli pass Twojego ID? Po zmianie? Może coś przy logowaniu jest nie tak?

Tak, w bazie jest takie samo.
W takim razie proszę, oto skrypt logowania:

[PHP] pobierz, plaintext 
<?php
session_start();
 
require 'header.php';
require 'config.php'; // Dołącz plik konfiguracyjny i połączenie z bazą
 
/**
 * SKRYPT LOGOWANIA
 */
require_once 'user.class.php'; // Dołączamy rdzeń systemu użytkowników
 
// Zabezpiecz zmienne odebrane z formularza, przed atakami SQL Injection
$login = htmlspecialchars(mysql_real_escape_string($_POST['login']));
$pass = mysql_real_escape_string($_POST['pass']);
 
if ($_POST['send'] == 1) {
    // Sprawdź, czy wszystkie pola zostały uzupełnione
    if (!$login or empty($login)) {
        die ('<p class="error">Wypełnij pole z loginem!</p>');
    }
 
    if (!$pass or empty($pass)) {
        die ('<p class="error">Wypełnij pole z hasłem!</p>');
    }
 
    $pass = user::passSalter($pass); // Posól i zahashuj hasło
 
    // Sprawdź, czy użytkownik o podanym loginie i haśle isnieje w bazie danych
    $userExists = mysql_fetch_array(mysql_query("SELECT COUNT(*) FROM users WHERE login = '$login' AND pass = '$pass'"));
 
    if ($userExists[0] == 0) {
        // Użytkownik nie istnieje w bazie
        echo '<center><p class="error">Użytkownik o podanym loginie i haśle nie istnieje.</p></center>';
    }
 
    else {
        // Użytkownik istnieje
        $user = user::getData($login, $pass); // Pobierz dane użytknika do tablicy i zapisz ją do zmiennej $user
 
        // Przypisz pobrane dane do sesji
        $_SESSION['login'] = $login;
        $_SESSION['pass'] = $pass;
 
        echo '<center><p class="success">Zostałeś poprawnie zalogowany... <META HTTP-EQUIV="Refresh" CONTENT="2;URL=panel.php"></p></center>';
    }
}
 
 
?>
<html>
<title>DED-Panel - Logowanie</title>
<link rel="stylesheet" type="text/css" href="styl.css" /></head>
<form id="logostart"><img src="images/logo.png" alt="Logo" /></form>
<form id="login1" action="" method="post">
    <h1>Logowanie</h1>
    <fieldset id="inputs">
        <input id="username" name="login" type="text" placeholder="Login" autofocus="" required="">   
        <input id="password" name="pass" type="password" placeholder="Hasło" required="">
    </fieldset>
    <fieldset id="actions">
		<input type="hidden" name="send" value="1" />
        <input type="submit" id="submit" value="Zaloguj">
    </fieldset>
 
</form>
 
<!-- BSA AdPacks code -->
<script src="js/jquery-1.6.3.min.js"></script>
 
 
</body>
</html>
[PHP] pobierz, plaintext 

Zaznaczam że dopiero raczkuje w PHP.

[PHP] pobierz, plaintext 
$pass = mysql_real_escape_string($_POST['pass']);
[PHP] pobierz, plaintext 

Po co Ci ta funkcja, jak i tak hash leci do bazy?

A właśnie nie wiem.
Ale po dodaniu pod ta linijką takiego czegoś:
$newpass = mysql_real_escape_string($_POST['newpass']);

Wszystko działa prawidłowo.

A teraz jeszcze jedno pytanie, jak zabezpieczyć ten skrypt aby po zalogowaniu nie można było zmieniać hasła innym użytkownikom?
Chodzi o to że gdy jest np. index.php?id=10 i zmienię na index.php?id=5 to mogę mu normalnie zmienić hasło, a chciałbym temu zapobiec. Jak zrobić żebym mógł używać tylko swojego id, a do wszystkich innym zabroniony dostęp? Np. Id 5 nie jest twoje, nie możesz mu zmienić hasła.

Wywal te funkcje ze zmiennych $pass i $newpass bo są zbędne. Hasło jest hashowane, a w formularzu i tak go nie pokazujesz.



Przy logowaniu zapisz ID w sesji i sprawdzaj czy ten z linki jest z nim równy, jak nie wyloguj. To najprostsza wersja i niezbyt dobra. Z czegoś lepszego, to zrezygnuj z liczb w linku, jako odnośniku do ID w bazie, możesz np. opierać się o ID z sesji, lub jak już musisz mieć coś w linku, to zamień liczby na string, coś jak generowany klucz na YT. 10 = wer2a4s (nie pamiętam jak ten proces się nazywa). Choć jak na początek opcja 1 i 2 będzie łatwiejsza do opanowania.