Forum PHP.pl

Chcę zrobić formularz zmiany hasła ale chyba źle napisałem zapytanie do bazy danych napisałem tak:

[PHP] pobierz, plaintext 
<?php
$connection = mysql_connect('localhost', 'aikon_testowa', 'xxxxx');
mysql_select_db('aikon_testowa');
$query = "update `dane` set 
`userpassword`='{$userpassword}'
 where `usernumber`='{$numer_usera}'";
$zmiana = mysql_query($query, $connection);
if($zmiana) echo '<div class="blad1"><br/>Hasło zostało zmienione<br/><br/></div>';
?>
[PHP] pobierz, plaintext 

proszę o pomoc co źle zrobiłem

[SQL] pobierz, plaintext 
"update dane set 
userpassword='$userpassword'
 where usernumber='$numer_usera'"
[SQL] pobierz, plaintext 

bez średników przy nazwach pól.

kurde dalej mi nie działa zrobiłem tak

[PHP] pobierz, plaintext 
<html>
<head><title>Zmiana Hasła || Dane Użytkownika</title><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2"></head>
<body>
<?php
echo "Zmiana Hasła Usera ID $numer_usera";
if($_POST[form_wyslany]){
	if(empty($_POST['userpassword']))
	{
	  echo  '- Podaj Hasło<br/>';
	  $error=1;
	}
	elseif($_POST[userpassword]!=$_POST[userpassword1]){
		echo '- Wybrane i Powtórzone Hasła nie są identyczne';
		$error=1;
	}
}
if($_POST[form_wyslany] && !$error){
$connection = mysql_connect('localhost', 'aikon_testowa', 'xxxxxxxx');
mysql_select_db('aikon_testowa');
$query = "update dane set
userpassword='$userpassword'
where usernumber='$numer_usera'";
$zmiana = mysql_query($query, $connection);
if($zmiana) echo '<div class="blad1"><br/>Hasło zostało zmienione<br/><br/></div>';
}
if(!$zmiana){
		echo '<form method="post" action="haslo.php">';
		echo '<B>Hasło:</b><BR><input type="password" name="userpassword"><br/>';
		echo '<B>Powtórz Hasło:</b><BR><input type="password" name="userpassword1"><BR>';
		echo '<input type="submit" value="Zmień Hasło">';
		echo '<input type="hidden" name="form_wyslany" value="1">';
		echo '</form>';
}
else{
	#session_destroy();
 
	echo 'dodano usera poprawnie sranie w banie';
}
		?>
[PHP] pobierz, plaintext 

wyświetla sie ładnie hasło zmienione ale nie zmienia się w bazie danych proszę o pomoc

Ten post edytował krzychu0808 31.07.2008, 11:04:12

A sorki za niedopatrzenie:

[SQL] pobierz, plaintext 
WHERE usernumber=$numer_usera
[SQL] pobierz, plaintext 

$numer_usera też daj bez średników bo to przecież watrość liczbowa.

1. Dlaczego raz piszesz $userpassword, a innym razem $_POST['userpassword']
2. Skąd bierzesz zmienną $numer_usera

3. I najmniej istotne: Dlaczego raz piszesz $_POST['userpassword'] a innym razem: $_POST[userpassword]

1. napisałem $userpassword w zapytaniu do bazy bo nie umiałem zamienić tego $_POST['userpassword']
2. $numer_usera jest przesyłany z poprzedniego formularza

[PHP] pobierz, plaintext 
<?php
<td><center><form method=POST action=haslo.php><input type=hidden name=numer_usera value=$row_get[usernumber]><input type=submit value=Zmień></form></center></td>";
?>
[PHP] pobierz, plaintext 

i jest przesyłany bo jak wejde to pisze Zmiana Hasła Usera ID xxx
3. tak jakoś

ale dalej nie działa jak zmieniłem na where usernumber=$numer_usera to gdy kliknę "zmień hasło" zostają dalej pola ale znika numer w zdaniu Zmiana Hasła Usera ID więc mi się zdaje że coś gdzieś zgubiłem i on przy wysyłaniu gubi gdzieś $numer_usera ..

[PHP] pobierz, plaintext 
<?php
$query = "update dane set userpassword='".$userpassword."' where usernumber='".$numer_usera."'";
?>
[PHP] pobierz, plaintext 

Spróbuj tak.

Ten post edytował Victor152 31.07.2008, 12:02:09

a teraz exploit:



Ten post edytował pyro 31.07.2008, 12:04:31

też nie działa kurde ja coś zgubiłem tylko nie wiem co

o co chodzi z tym exploit (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?

o to ze ktos w ten sposob moze wbic ci sie na stronke (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

Napisz co Ci wyświetla.

#Co do exploita
Niezłe jaja z tym są^^
Ktoś Ci może bazę usunąć jak nie zabezpieczysz (IMG:http://forum.php.pl/style_emoticons/default/tongue.gif)

[PHP] pobierz, plaintext 
<?php
$query = "update dane set userpassword='".$POST['userpassword1']."' where usernumber='".$numer_usera."'";
?>
[PHP] pobierz, plaintext 

Pozatym musisz gdzieś napisać co to $numer_usera, nigdzie nie ma zdefiniowanej tej zmiennej!

Ten post edytował Victor152 31.07.2008, 12:12:41

[PHP] pobierz, plaintext 
<?php
$query = "update dane set
userpassword='$userpassword'
where usernumber='$numer_usera'";
?>
[PHP] pobierz, plaintext 

poza tym skąd się biorą zmienne $userpassword i $numer_usera? no chyba ze masz wlaczone RWGISTER_GLOBALS....

$password bierze się z

[PHP] pobierz, plaintext 
<?php
echo '<form method="post" action="haslo.php">';
		echo '<B>Hasło:</b><BR><input type="password" name="userpassword"><br/>';//tutaj <<<<<-------
		echo '<B>Powtórz Hasło:</b><BR><input type="password" name="userpassword1"><BR>'; 
		echo '<input type="submit" value="Zmień Hasło">';
		echo '<input type="hidden" name="form_wyslany" value="1">';
		echo '</form>';
?>
[PHP] pobierz, plaintext 

a jeżeli $numer_usera przesyłam z poprzedniego formularza to on przy wysyłaniu danych z tego formularza znika (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) ?

Jeśli pobierasz dane z formularza lub z URLa to nie sa one później widoczne jawnie tylko w tablicach $_POST i $_GET

Czyli jednym słowem sprecyzuj $numer_usera : )
Albo go z wcześniejszych formularzy w cookie wpakuj ale to lipny pomysł.

o co ci chodzi z tym sprecyzowaniem (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

No musisz napisać

[PHP] pobierz, plaintext 
<?php
$numer_usera = tutaj_login_ma_wyciagac_czy_to_z_bay_czy_to_z_sesji;
?>
[PHP] pobierz, plaintext 

Przed zapyutaniem oczywiście.

zrobiłem tak że zmienna $numer_usera jest przekazywana do echo "<input type=\"hidden\" name=\"usernumber\" value=$numer_usera>"; i po wysłaniu przechodzi ona w $usernumber = $_POST['usernumber']; i dalej idzie jako $usernumber do zapytania ale jest haczyk jak ktoś wpisze źle hasło lub go nie wpisze to wyskuje stosowny błąd a zmienna znika ;/ ta zmienna $numer_usera lub $usernumber musiała by gdzieś być przechowywana jakiś pomysł (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif) (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

[PHP] pobierz, plaintext 
<html>
<head><title>Zmiana Hasła || Dane Użytkownika</title><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-2"></head>
<body>
<?php
$usernumber = $_POST['usernumber']; // 
echo "Zmiana Hasła Usera ID $numer_usera<br/>";
if($_POST[form_wyslany]){
	if(empty($_POST['userpassword']))
	{
	  echo  '- Podaj Hasło<br/>';
	  $error=1;
	}
	elseif($_POST[userpassword]!=$_POST[userpassword1]){
		echo '- Wybrane i Powtórzone Hasła nie są identyczne<br/>';
		$error=1;
	}
}
if($_POST[form_wyslany] && !$error){
$usernumber = $_POST['usernumber'];
$connection = mysql_connect('localhost', 'aikon_testowa', 'xxxx);
mysql_select_db('aikon_testowa');
$query = "update dane set userpassword='$userpassword' where usernumber='$usernumber'";
$zmiana = mysql_query($query, $connection);
if($zmiana) echo '<div class="blad1"><br/>Hasło zostało zmienione<br/><br/></div>';
}
if(!$zmiana){
		echo '<form method="post" action="haslo.php">';
		echo '<B>Hasło:</b><BR><input type="password" name="userpassword"><br/>';
		echo '<B>Powtórz Hasło:</b><BR><input type="password" name="userpassword1"><BR>';
		echo '<input type="submit" value="Zmień Hasło">';
		echo '<input type="hidden" name="form_wyslany" value="1">';
		echo "<input type=\"hidden\" name=\"usernumber\" value=$numer_usera>";
		echo '</form>';
}
else{
	#session_destroy();
 
	echo 'dodano usera poprawnie sranie w banie;
}
		?>
[PHP] pobierz, plaintext 

Ten post edytował krzychu0808 31.07.2008, 14:14:25

kszychu, zabezpiecz wkońcu ^^

to mi powiedz w jaki sposób mam ją zabezpieczyć to zrobię (IMG:http://forum.php.pl/style_emoticons/default/winksmiley.jpg)