podmienianie danych przez zalogowanego formularzem Opcje

[Th0e]

Witam. Chciałbym, by osoba zalogowana mogła zmienić swoje hasło, jednak nie mogę się z tym uporać. Po wysłaniu danych tworzy się nowy wiersz w tabeli, w którym jest zawarte wprowadzone nowe hasło.

Oto kod:

[PHP] pobierz, plaintext 
<h3>zmień swoje hasło</h3>
<form method="POST">
<input type="text" name="nowehaslo">
<input type="submit"></form>
 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
mysql_query("INSERT INTO `uzytkownicy` (haslo)VALUES('$nowehaslo')") or die("BŁĄD");
 
?>
[PHP] pobierz, plaintext 

[Psajkus]

Po wysłaniu danych tworzy się nowy wiersz w tabeli...

Skoro robisz insert'a to nic dziwnego, ze sie tworzy nowy wiersz. Do edycji sluzy UPDATE

[Th0e]

[PHP] pobierz, plaintext 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
mysql_query("UPDATE INTO `uzytkownicy` (haslo)VALUES('$nowehaslo')") or die("BŁĄD");
 
?>
[PHP] pobierz, plaintext 

takim sposobem w ogóle nie działa

[ixox]

np tak.

[PHP] pobierz, plaintext 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE uzytkownik='$uzytkownik' ");
[PHP] pobierz, plaintext 

[Th0e]

np tak.

[PHP] pobierz, plaintext 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE uzytkownik='$uzytkownik' ");
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE uzytkownik='$uzytkownik' ");
?>
[PHP] pobierz, plaintext 

nie działa.

[netrat]

Zapoznaj się z budową update http://dev.mysql.com/doc/refman/5.0/en/update.html nic dziwnego że nie zmienia Ci hasła jesli nie podajesz niczego co by mogło zidentyfikować jakiemu userowi zmieniasz hasło. Skąd SQL ma wiedzieć czy to user o id 1 czy user o id 2 czy jakiekolwiek (IMG:style_emoticons/default/smile.gif) poza tym bardzo niebezpieczna jest Twoja konstrukcja. nigdzie nie sprawdzasz co użytkownik Ci wysyła tym postem, mozliwe że to będzie jakieś sql injection ( http://pl.wikipedia.org/wiki/SQL_injection ) czy cokolwiek (IMG:style_emoticons/default/wink.gif) nigdy nie ufaj użytkownikom i wszystko co idzie od nich do serwera traktuj podejrzliwie bo Ci walnie jakieś drop database czy coś (IMG:style_emoticons/default/smile.gif)

[Th0e]

oto screen mojej bazy:

http://gramytu.pl/uploads/imgs/pre_1349186366__screenik.jpg

oto mój plik config, którego używam do łączenia się:

[PHP] pobierz, plaintext 
<?php session_start();
mysql_connect("localhost","root","") or die(mysql_error()."Nie mozna polaczyc sie z baza danych. Prosze chwile odczekac i sprobowac ponownie.");
mysql_select_db("konta") or die(mysql_error()."Nie mozna wybrac bazy danych.");
?>
[PHP] pobierz, plaintext 

oto indeks.php - strona dla zalogowanych

[PHP] pobierz, plaintext 
<html>
<head>
<link rel="stylesheet" type="text/css" href="style.css" />
<title>klocuchowo.cba.pl</title>
<meta http-equiv="Content-type" content="text/html; charset=windows-1250" />
</head>
<body>
<center>
<div id=logo>
<a href="index.php"><img src="img/logo.png"></a>
</div>
 
<div id="pasek">
<a href="index.php">Strona Główna</a>&nbsp;
<a href="rejestracja.php">Rejestracja</a>&nbsp;
<a href="admini.php">Administracja</a>&nbsp
<a href="faq.php">FAQ</a>&nbsp;
<a href="logowanie.php">logowanie</a>&nbsp;
</div>
 
</center>
<div id="tlo">
 
 
<?php include("config.php");
$nick = $_SESSION['nick'];
$haslo = $_SESSION['haslo'];
    if ((empty($nick)) AND (empty($haslo))) {
echo '<br>Nie byłeś zalogowany albo zostałeś wylogowany<br><a href="index.php">Strona Główna</a><br>';
exit;
}
$user = mysql_fetch_array(mysql_query("SELECT * FROM uzytkownicy WHERE `nick`='$nick' AND `haslo`='$haslo' LIMIT 1"));
    if (empty($user[id]) OR !isset($user[id])) {
echo '<br>Nieprawidłowe logowanie.<br>';
exit;
}
// tresc dla zalogowanego uzytkownika
echo 'Witaj '.$user[nick].' zostałeś/aś pomyślnie zalogowany/a, tutaj umieść ukryta strone tylko dla zalogowanych';
echo '<br><a href="wyloguj.php">Wyloguj mnie</a>';
 
 
?>
 
<h3>zmień swoje hasło</h3>
<form method="POST">
<input type="text" name="nowehaslo">
<input type="submit"></form>
 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE uzytkownik='$uzytkownik' ");
?>
 
</div></body></html>
[PHP] pobierz, plaintext 

ktoś wie jak zrobić by podmieniało to hasło?

[ixox]

[PHP] pobierz, plaintext 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE nick='$_SESSION['nick']' ");
[PHP] pobierz, plaintext 

PS. A tak wogóle to po co przechowujesz hasło w Sesji i to jeszcze w sposób jawny?

Ten post edytował ixox 2.10.2012, 15:25:28

[Th0e]

uporałem się z tym problemem

[PHP] pobierz, plaintext 
<h3>zmień swoje hasło</h3>
<form method="POST">
<input type="text" name="nowehaslo">
<input type="submit"></form>
 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE nick='$nick' ")or die(mysql_error());
 
?>
[PHP] pobierz, plaintext 

działa.

Tyle że dopiero teraz zauważyłem pewien bug - a mianowicie po zalogowaniu się i odświeżeniu strony pokazuje mi "Nieprawidłowe logowanie." i zmienia mi hasło na jedną spacje. potem gdy się zaloguje na takie konto z takim hasłem to mogę odświeżać ile chcę a i tak nie wyloguje mnie / nie zmieni hasła - czyli nic złego się nie stanie.

w poprzednim moim poście zawarłem kod indeks.php , connection.php i SS z bazy danych. Ktoś ma pomysł dlaczego tak się dzieje?

[b4rt3kk]

A nie widzisz czemu tak się dzieje? Masz w indexie:

[PHP] pobierz, plaintext 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE nick='$nick' ")or die(mysql_error());
 
?>
[PHP] pobierz, plaintext 

więc zapytanie wykonuje się za KAŻDYM RAZEM gdy odpalasz index.php, jednak przed zalogowaniem zmienna $nick jest pusta, więc nie znajduje takiego rekordu w bazie do aktualizacji, po zalogowaniu w zmiennej $nick jest już prawidłowy nick z bazy, ale $nowehaslo jest ciągle puste, więc zapytanie czyści komórkę z hasłem...

[Th0e]

A nie widzisz czemu tak się dzieje? Masz w indexie:

[PHP] pobierz, plaintext 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE nick='$nick' ")or die(mysql_error());
 
?>
[PHP] pobierz, plaintext 

więc zapytanie wykonuje się za KAŻDYM RAZEM gdy odpalasz index.php, jednak przed zalogowaniem zmienna $nick jest pusta, więc nie znajduje takiego rekordu w bazie do aktualizacji, po zalogowaniu w zmiennej $nick jest już prawidłowy nick z bazy, ale $nowehaslo jest ciągle puste, więc zapytanie czyści komórkę z hasłem...

dzięki (IMG:style_emoticons/default/smile.gif) a już miałem porzucić ten skrypt (IMG:style_emoticons/default/snitch.gif)

Przeprawiłem to na takie coś:

[PHP] pobierz, plaintext 
<h3>zmień swoje hasło</h3>
<form method="POST">
<input type="text" name="nowehaslo">
<input type="submit"></form>
 
<?php
 
$nowehaslo = $_POST['nowehaslo'];
 
if(!empty ($nowehaslo)){
 
mysql_query("UPDATE `uzytkownicy` SET haslo='$nowehaslo' WHERE nick='$nick' ")or die(mysql_error());
}
else {
echo "zalecane jest ustawienie trudnego hasła.";
}
?>
[PHP] pobierz, plaintext 

i wszytko działa jak powinno (IMG:style_emoticons/default/smile.gif)

------------

Mam jeszcze kilka drobnych pytań. Dał by ktoś gotowe komendy na pobieranie danych z bazy do tablicy zmiennej globalnej SESSION, oraz na wysyłanie?

[b4rt3kk]

Przecież chyba wiesz w jaki sposób pobierać dane z bazy?

[PHP] pobierz, plaintext 
$mysqli = new mysqli('host', 'user', 'pass', 'name');
$result = $mysqli -> $query('SELECT * FROM tabela');
while ($row = $result -> fetch_row()) print_r($row); // wyświetlenie wyników zapytania
[PHP] pobierz, plaintext 

więc nie powinno być problemem zastosowanie zwykłego podstawienia:

[PHP] pobierz, plaintext 
while ($row = $result -> fetch_row()) {
  $_SESSION['costam'] = $row[0];
  $_SESSION['costam1'] = $row[1];
  // itd.
}
[PHP] pobierz, plaintext 

Swoją drogą hasła powinny być hashowane, przy tak dziurawym skrypcie prawdopodobieństwo wycieku jest bardzo duże, a to zawsze jakieś zabezpieczenie, przy zmianie hasła przyjęło się podawanie starego hasła w celu potwierdzenia, czy np. ktoś się nie zapomniał wylogować i po nim ktoś siada i mu zmienia hasło. Przydałoby się też sprawdzanie długości nowego hasła i ustalenie jakiegoś minimum znaków (np. 5).

Spróbuj proszę zmienić hasło i w pole nowego hasła wpisać coś takiego: 1' DROP TABLE uzytkownicy --

[Th0e]

wpisałem w hasło 1' DROP TABLE uzytkownicy --

to po prostu ustawiło mi takie hasło , tylko że się teraz na takie konto zalogować nie mogę (IMG:style_emoticons/default/smile.gif)
musiałem w SQL wykonać

[SQL] pobierz, plaintext 
UPDATE `uzytkownicy` SET haslo='nowehaselko' WHERE nick='Th0e'
[SQL] pobierz, plaintext 

Postanowiłem uczyć się od podstaw, tutaj coś znalazlem:
http://php.pl/phppl/Wortal/Artykuly/PHP/Po...anie-informacji

jak myślicie to dobry tut? sposoby łączenia się z bazą danych preferowane przez autora tego kursu są mniej wygodne, od tych, które stosuje ja.

próbowałem wyświetlić dane takim sposobem i oczywiście że nie działa bo to mój sposób (IMG:style_emoticons/default/smile.gif)

[PHP] pobierz, plaintext 
$pokazniczek = mysql_query("SELECT `nick` FROM `uzytkownicy` WHERE nick='$nick' ")or die(mysql_error());
echo "twój nick to ". $pokazniczek ."";
[PHP] pobierz, plaintext 

błąd

Kod

Resource id #5

Ten post edytował Th0e 3.10.2012, 12:24:11

[CuteOne]

Zamiast spamować na forum lepiej weź do ręki porządną książkę traktującą o PHP, MySQL i podobnych. Ewentualnie jeżeli nie masz takowej poszukaj na necie tutoriali dla początkujących.

ps. mysql_fetch_*