Forum PHP.pl

Witam wszystkich.
Proszę o wyrozumiałość gdyż to mój pierwszy post.
Dopiero zaczynam przygodę z PHP.

Mianowicie mam problem z jedną zmienną, które nie mogę wyłapać.
Próbuje na znane mi sposoby, ale widocznie jeszcze za mało umiem.

Sprawa wygląda następująco:
Mam zrobioną rejestrację która wysyła mail na wpisany adres mail z prośbą o aktywację.
Link wygląda następująco:

Klikając w niego zmienna w bazie zmienia stan z 0 na 1.
Poniżej kod z pliku wykonującego zadanie

[PHP] pobierz, plaintext 
<?php include('header.php'); ?>
<h2>&raquo; Weryfikacja użytkownika</h2>
<div class="content">
 
<?php
 
 
if ($_GET['weryfikacja'] == 'potwierdz') {
 
    include 'inc/db.php'; // połączenie się z bazą danych
    $tabela = 'rejestracja'; // zdefiniowanie tabeli MySQL
 
    $kod = htmlspecialchars(stripslashes(strip_tags(trim($_REQUEST['kod']))), ENT_QUOTES); // filtrowanie $_GET['kod']
 
    // jeżeli kod znajduje się w URL, skrypt najpierw patrzy czy użytkownik ma aktywne konto
    // jeżeli nie ma, wtedy zmienia się jego status, jeżeli nie upłynęło 48 godzin od rejestracji
 
    $wynik = mysql_query("SELECT * FROM $tabela
          WHERE kod='$kod' and status=1");
 
    if (mysql_num_rows($wynik) == 1) {
        echo '<span class="powodzenie">Aktywowałeś już swoje konto.</span>';
        exit; 
    } else {
        $wynik = mysql_query("DELETE FROM $tabela
          WHERE data<=DATE_SUB(NOW(),INTERVAL 2 DAY) and status=0");
        $wynik = mysql_query("UPDATE $tabela
          SET status='1', data=NOW() WHERE kod='$kod' and status=0");
        $wynik = mysql_query("SELECT * FROM $tabela
          WHERE kod='$kod' and status=1");
        if (mysql_num_rows($wynik) == 1) {
            echo '<span class="powodzenie">Dziękujemy. Rejestracja została zakończona poprawnie. Możesz teraz ustanowić swoje hasło dostępu.</span>';
 
			}
			}
 
    // jeżeli został wprowadzony zły link, wyświetla się błąd
    if (!$kod or mysql_num_rows($wynik)<>1) {
        echo '<p>Aktywowanie konta nie powiodło się.</p>';
    }	
 
mysql_close($polaczenie);
 
}
 
?>
</div>
<?php include('footer.php'); ?>
[PHP] pobierz, plaintext 

Po kliknięciu w link pokazuje się informacja o tym że konto zostało pomyślnie aktywowane.

I teraz chciałbym aby umieścić tutaj możliwość ustawienia hasła gdzie będzie tylko taka możliwość tylko raz.

Mam napisany poniższy kod, dzięki któremu mogę zmienić hasło jak jestem już zalogowany, i trwa sesja.

[PHP] pobierz, plaintext 
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<link rel="stylesheet" href="css/style.css" type="text/css"
media="screen" />
</head>
<h2>&raquo; Ustawienie hasła</h2>
<div class="content">
 
<?php
 
  include 'inc/db.php'; // połączenie się z bazą danych
    $tabela = 'rejestracja'; // zdefiniowanie tabeli MySQL
 
			//początek skryptu zmiany hasła
 
			if ($_POST['wyslane']) { // jeżeli formularz został wysłany, to wykonuje się poniższy skrypt
// formularz ustawienia hasła	
 
		$haslo = $_POST['haslo'];
                $haslo2 = $_POST['haslo2'];	
		//$kod = $_REQUEST['kod'];
 
 // system sprawdza czy prawidłowo zostały wprowadzone dane
 
        if ($haslo) {
            if (strlen($haslo) < 6 or strlen($haslo) > 30) {
                $blad++;
                echo '<span class="blad">Proszę poprawnie wpisać hasło (od 6 znaków do 30 znaków).</span>';
            }
        }
        if ($haslo !== $haslo2) {
            $blad++;
            echo '<span class="blad">Podane hasła nie są ze sobą zgodne.</span>';
        }
 
        // jeżeli błąd nie wystąpił, to dane zostają prawidłowo zapisane z bazie MySQL
        if ($blad == 0) {
 
            if ($haslo == false) {
			}
			else {
 
 
                $haslo = md5($haslo); // szyfrowanie hasla
                $wynik2 = mysql_query("UPDATE $tabela SET haslo='$haslo' WHERE kod='$kod1' ");
 
 
            }
 
            if ($wynik2) {
                echo '<span class="powodzenie">Dane zostały zmienione.</span>';
            } else {
                echo '<span class="blad">Dane nie zostały zmienione.</span>';
            }
        }
		}
//koniec skryptu zmiany hasła
 
 
// mysql_close($polaczenie);
 
 
       // tworzenie formularza HTML z danymi użytkownika 
       echo <<< KONIEC
<br>
<br>
    <form class="form" action="weryfikacja2.php" method="post">
    <input type="hidden" name="wyslane" value="TRUE" />
 
 
<p>
		<div class="label"><label for="haslo">Hasło</label></div>
		<input type="password" name="haslo" id="haslo" />
	</p>
 
	<p>
		<div class="label"><label for="haslo2">Powtórz hasło</label></div>
		<input type="password" name="haslo2" id="haslo2" />
	</p>
 
    <p class="submit2">
		<input type="submit" value="Aktualizuj moje dane" />
	</p>
 
KONIEC;
 
  //koniec tworzenia formularza
 
//tu koniec formularza ustawienia hasła
 
 
?>
</div>
[PHP] pobierz, plaintext 

W żaden znany mi sposób nie mogę odebrać zmiennej "$kod".

Z góry dziękuję za pomoc w rozwiązaniu problemu.
[php][/php]

Ten post edytował kapsel2105 22.10.2012, 16:41:37

Jeśli chcesz, żeby kod był przechowywany w zmiennej GET, to formularz musi ją wysyłać:

[PHP] pobierz, plaintext 
<form class="form" action="weryfikacja2.php?kod=jakis_tam_kod" method="post">
[PHP] pobierz, plaintext 

Poza tym ten kod miał być chyba tylko do weryfikacji maila? Tak więc po co go trzymać dalej? Jeśli użytkownik jest już zalogowany to zwyczajnie zmień warunek WHERE id_user=$id_user. A to czy już zmieniał hasło przechowuj w kolumnie tabeli, np. 0 jeśli nie zmieniał, 1 jeśli zmieniał.

No i wyedytuj proszę post i wrzuć kod php między znaczniki php, a nie code, bo ciężko się to czyta kiedy trzeba przewijać.

Ten post edytował b4rt3kk 22.10.2012, 16:00:17

Dzękuję za szybką odpowiedź.
Ogólnie wymyśliłem sobie tak że przychodzący mail z linkiem jednocześnie umożliwia ustanowienie hasła.
Czyli klikając w link z maila dostajemy info o tym że weryfikacja przebiegła poprawnie oraz poniżej zostaje wyświetlony formularz (osadzony w include) z dwoma polami oraz walidacją poprawności hasła.
Ma się to wyświetlać tylko raz (czyli w przypadku gdy poprawnie się zweryfikowaliśmy).
Dlatego wymyśliłem żeby odnieść się do zmiennej $kod, gdyż też jest ona zapisana w bazie, w tej samej tabeli. Tylko właśnie nie mogłem jej wyłapać i zmusić aby odniósł się do niej formularz.

Czy mógł byś mi bardziej przybliżyć jak należało by to zrobić?

[PHP] pobierz, plaintext 
$kod = htmlspecialchars(stripslashes(strip_tags(trim($_REQUEST['kod']))), ENT_QUOTES); // filtrowanie $_GET['kod']
[PHP] pobierz, plaintext 

dobrze że próbujesz filtrować dane otrzymywane od użytkownika, jednak taki kod niestety nie zabezpiecza przed wszystkimi metodami ataku SQL injection.

tylko Twój silnik bazodanowy jest w stanie zagwarantować bezpieczeństwo przekazywania stringów do bazy danych (liczby można można rzutować na int co je zabezpiecza) np. przez funkcje mysql_real_escape_string. A jeszcze lepiej jest używać PDO i prepared statements. Co sugerują twórcy PHP: http://php.net/manual/en/function.mysql-re...cape-string.php

W skrócie, zmienna GET jak wiesz jest dostępna z paska adresu strony, więc każdy adres po kolei, do którego przechodzisz od momentu kliknięcia w link aktywacyjny musi tą zmienną przekazywać dalej. Przykład. Klikamy link aktywacyjny: strona.pl?kod=123.

[PHP] pobierz, plaintext 
$kod = $_GET['kod'];
// jeśli chcemy by zmienna GET była przekazana dalej, każdy link, czy to formularz musi ją zawierać
echo "<form action=\"link.php?kod=$kod\">";
// czy też link do zmiany hasła
echo "<a href=\"link.php?kod=$kod\">klik</a>";
[PHP] pobierz, plaintext 

Więc tak, chciałbym to spakować do jednego pliku, ale nadal nie chce mi to działać.
Wstawiając include`m plik weryfikacja2.php też coś nie działało.

Jeśli można prosił bym o wytłumaczenie, lub choć przybliżenie jak to zrobić by działało poprawnie:

[PHP] pobierz, plaintext 
<?php include('header.php'); ?>
<h2>&raquo; Weryfikacja użytkownika</h2>
<div class="content">
 
<?php
 
 
if ($_GET['weryfikacja'] == 'potwierdz') {
 
    include 'inc/db.php'; // połączenie się z bazą danych
    $tabela = 'rejestracja'; // zdefiniowanie tabeli MySQL
 
    $kod = htmlspecialchars(stripslashes(strip_tags(trim($_REQUEST['kod']))), ENT_QUOTES); // filtrowanie $_GET['kod']
 
    // jeżeli kod znajduje się w URL, skrypt najpierw patrzy czy użytkownik ma aktywne konto
    // jeżeli nie ma, wtedy zmienia się jego status, jeżeli nie upłynęło 48 godzin od rejestracji
 
    $wynik = mysql_query("SELECT * FROM $tabela
          WHERE kod='$kod' and status=1");
 
    if (mysql_num_rows($wynik) == 1) {
        echo '<span class="powodzenie">Aktywowałeś już swoje konto.</span>';
        exit; 
    } else {
        $wynik = mysql_query("DELETE FROM $tabela
          WHERE data<=DATE_SUB(NOW(),INTERVAL 2 DAY) and status=0");
        $wynik = mysql_query("UPDATE $tabela
          SET status='1', data=NOW() WHERE kod='$kod' and status=0");
        $wynik = mysql_query("SELECT * FROM $tabela
          WHERE kod='$kod' and status=1");
        if (mysql_num_rows($wynik) == 1) {
            echo '<span class="powodzenie">Dziękujemy. Rejestracja została zakończona poprawnie. Możesz teraz ustanowić swoje hasło dostępu.</span>';
			echo ($kod);
 
					//początek skryptu zmiany hasła
 
			if ($_POST['wyslane']) { // jeżeli formularz został wysłany, to wykonuje się poniższy skrypt
//od tąd formularz ustawienia hasła	
 
		$haslo = $_POST['haslo'];
        $haslo2 = $_POST['haslo2'];
 
 
 // system sprawdza czy prawidłowo zostały wprowadzone dane
 
        if ($haslo) {
            if (strlen($haslo) < 6 or strlen($haslo) > 30) {
                $blad++;
                echo '<span class="blad">Proszę poprawnie wpisać hasło (od 6 znaków do 30 znaków).</span>';
            }
        }
        if ($haslo !== $haslo2) {
            $blad++;
            echo '<span class="blad">Podane hasła nie są ze sobą zgodne.</span>';
        }
 
        // jeżeli błąd nie wystąpił, to dane zostają prawidłowo zapisane z bazie MySQL
        if ($blad == 0) {
 
            if ($haslo == false) {
			}
			else {
 
 
 
                $haslo = md5($haslo); // szyfrowanie hasla
                $wynik2 = mysql_query("UPDATE $tabela SET haslo='$haslo' WHERE kod='$kod' ");
 
 
            }
 
            if ($wynik2) {
                echo '<span class="powodzenie">Dane zostały zmienione.</span>';
            } else {
                echo '<span class="blad">Dane nie zostały zmienione.</span>';
            }
        }
		}
//koniec skryptu zmiany hasła
 
 
// mysql_close($polaczenie);
 
 
 
 
 
			}
			}
 
    // jeżeli został wprowadzony zły link, wyświetla się błąd
    if (!$kod or mysql_num_rows($wynik)<>1) {
        echo '<p>Aktywowanie konta nie powiodło się.</p>';
    }	
 
mysql_close($polaczenie);
 
}
 
       // tworzenie formularza HTML z danymi użytkownika 
       echo <<< KONIEC
<br>
<br>
 
    <form class="form" action="weryfikacja.php?kod=$kod" method="POST">
    <input type="hidden" name="wyslane" value="TRUE" />
 
 
<p>
		<div class="label"><label for="haslo">Hasło</label></div>
		<input type="password" name="haslo" id="haslo" />
	</p>
 
	<p>
		<div class="label"><label for="haslo2">Powtórz hasło</label></div>
		<input type="password" name="haslo2" id="haslo2" />
	</p>
 
    <p class="submit2">
		<input type="submit" value="Aktualizuj moje dane" />
	</p>
 
KONIEC;
 
  //koniec tworzenia formularza
 
//tu koniec formularza ustawienia hasła
 
?>
</div>
 
<?php include('footer.php'); ?>
[PHP] pobierz, plaintext 

Strona odpala się bez błędów, ale nie zmienia wartości w tabeli (IMG:style_emoticons/default/sad.gif)

Dziękuję za naprowadzenie i pomoc b4rt3kk.
Punkcik poleciał.

Temat do zamknięcia.