[MySQL][PHP]Edycja rekordu Opcje

[Pcbecaw]

Mam z internetu taki formularz dot. zmiany hasła w panelu użytkownika:

[PHP] pobierz, plaintext 
<form action="" method="post"> 
Podaj login: <input type="text" name="nick" /><br /><br /> 
Podaj email:<input type="text" name="email" /><br /><br /> 
Podaj hasło:<input type="password" name="haslo" /><br /><br /> 
<input name="dalej" type="submit" value="Dalej"><br /><br /> 
</form>
 
<?php include("config.php");
error_reporting(E_ALL^E_NOTICE);
if($_POST['dalej']) 
{ 
$login = strip_tags(htmlspecialchars(mysql_real_escape_string($_POST['nick']))); 
$haslo = substr(addslashes($_POST['haslo']),0,32);
$email = strip_tags(htmlspecialchars(mysql_real_escape_string($_POST['email'])));  
 
if(empty($login) || empty($haslo)  || empty($email)) $wiadomosc .= "Uzupełnij wszystkie pola<br>"; 
 
if(empty($wiadomosc)) 
{ 
 
// sprawdzanie loginu 
 
$log = mysql_query("SELECT * FROM uzytkownicy WHERE nick='".$login."'"); 
$log1 = mysql_num_rows($log); 
 
if($log1 === 0) $wiadomosc .= "Podany login nie istieje<br>"; 
 
// sprawdzanie hasla 
 
$has = mysql_query("SELECT * FROM uzytkownicy WHERE haslo='".$haslo."'"); 
$has1 = mysql_num_rows($has); 
 
if($has1 === 0) $wiadomosc .= "Podane hasło jest nieprawidłowe<br>"; 
 
// sprawdzanie emaila 
 
$ema = mysql_query("SELECT * FROM uzytkownicy WHERE email='".$email."'"); 
$ema1 = mysql_num_rows($ema); 
 
if($ema1 === 0) $wiadomosc .= "Podany email nie istnieje<br>"; 
} 
} 
 
 
 
if($_POST['dalej'] and empty($wiadomosc)) 
{ 
echo ' 
<form action="" method="post"> 
<input type="hidden" name="login" value="'.$login.'">  
Podaj stare hasło <input type="password" name="haslos" /><br /><br /> 
Podaj nowe hasło <input type="password" name="haslo1" /><br /><br /> 
Powtórz nowe hasło <input type="password" name="haslo2" /><br /><br /> 
<input name="zapisz" type="submit" value="Zapisz" /></form> 
'; 
} 
 
 
 
if($_POST['zapisz']) 
{ 
$login = strip_tags(htmlspecialchars(mysql_real_escape_string($_POST['login']))); 
$haslos = substr(addslashes($_POST['haslos']),0,32);
$haslo1 = substr(addslashes($_POST['haslo1']),0,32);
$haslo2 = substr(addslashes($_POST['haslo2']),0,32);
 
if(empty($haslos) || empty($haslo1)  || empty($haslo2)) $wiadomosc .= "Uzupełnij wszystkie pola<br>"; 
 
if(empty($wiadomosc)) 
{ 
$has = mysql_query("SELECT * FROM uzytkownicy WHERE haslo='".$haslos."'"); 
$has1 = mysql_num_rows($has); 
 
if($has1 === 0) $wiadomosc .= "Stare hasło nie pasuje<br>"; 
if($haslo1 != $haslo2) $wiadomosc .= "Hasła są różne<br>"; 
} 
if(empty($wiadomosc)) 
{ 
 
$zapytanie1 = 'UPDATE `uzytkownicy` SET `haslo`= "'.$haslo2.'" WHERE `nick`="'.$login.'"'; 
$idzapytania1 = mysql_query($zapytanie1) or die(mysql_error());  
$wiadomosc .= "hasło zostało zmienione<br>"; 
} 
} 
echo $wiadomosc; 
?>
[PHP] pobierz, plaintext 

W bazie hasła w rejestracji koduje tak:

[PHP] pobierz, plaintext 
$haslo = substr(addslashes($_POST['haslo']),0,32);
[PHP] pobierz, plaintext 

Teraz problem pojawia się w edycji i uwierzytelnianiu. Po wpisaniu hasła takiego, jak przy rejestracji, wyskakuje komunikat, że hasła są nieprawidłowe. Jednak po skopiowaniu zakodowanego hasła i wpisanie go w pole formularza - wszystko jest ok. Błędem jest odkodowywanie hasła w pliku dot. edycji hasła. Jak to naprawić?
Dzięki, pozdrawiam (IMG:style_emoticons/default/wink.gif)

[mortus]

Po pierwsze zauważ, że element tablicy $_POST['zapisz'] istnieje (jest ustawiony, ang. isset) tylko wtedy, gdy wyślesz dane poprzez formularz. Oznacza to, że przy każdym pierwszym wejściu na stronę będzie pojawiał się komunikat uwagi NOTICE, ponieważ takiego elementu jeszcze w talicy $_POST nie ma. W tym przypadku trzeba zastąpić linię 13 takim kodem (który de facto niewiele się różni):

[PHP] pobierz, plaintext 
if(isset($_POST['zapisz'])) {
[PHP] pobierz, plaintext 

Użytkownika powinieneś identyfikować po jego id, a nie po loginie. Skoro jest to formularz zmiany hasła i możesz określić login użytkownika, to i możesz określić jego id. Zastąp zatem ukryte pole login ukrytym polem id, i przekazuj w nim identyfikator użytkownika.
Trzecia sprawa to kwestia użycia funkcji empty(). Po co kodować pusty łańcuch znaków (bo to się właśnie dzieje, gdy użytkownik nie uzupełni któregoś z pól)? Linie 16, 17 i 18 powinny się znaleźć dopiero w bloku if(empty($wiadomosc)) {. Natomiast instrukcja warunkowa w linii 20 powinna wyglądać tak:

[PHP] pobierz, plaintext 
if(empty($_POST['haslos']) || empty($_POST['haslo1']) || empty($_POST['haslo2']))
[PHP] pobierz, plaintext 

Pozostaje jeszcze kwestia użycia funkcji addslashes(). Modyfikuje ona hasło podane przez użytkowniaka, a wcale nie jest tutaj potrzebna. Oznacza to tyle, że hasło w bazie danych nie jest hasłem użytkownika. Jest wiele sposobów na zabezpieczenie hasła np. sól, podwójne hashowanie lub "miks" obu wspomnianych metod, itp.