odzyskiwanie hasła na e-mail a link Opcje

[inomi13]

Stworzyłem formularz odzyskiwania hasła który wysyła na skrzynkę e-mailową nowe hasło a w bazie danych dodaje taki sam wpis w tabeli "pass_temp".

[PHP] pobierz, plaintext 
$_SESSION['name'] = $wiersz['name'];
$wynik= $polaczenie->query("SELECT pass from persons where email='$email'"); 
$wiersz = $wynik->fetch_assoc();
$wiersz['pass'] = str_shuffle("qwertyuiopasdfghjklzxcvbnm1234567890");
$wiersz['pass'] = substr($wiersz['pass'],0,20);
$haslo1=$wiersz['pass'];
$haslo_hash = password_hash($haslo1, PASSWORD_DEFAULT);
$zmiana = "UPDATE persons SET pass = '$haslo_hash', pass_temp = '$haslo_hash' WHERE email='$email'";
[PHP] pobierz, plaintext 

Osoba która otrzymuje e-maila klika w link "zmiana hasła" i może odrazu wpisać tymczasowe hasło, nowe i powtórzenie nowego hasła. Wszystko działa jednak jest problem w sytuacji jak dwie osoby w tym samym czasie chciały by odzyskać hasło. Proszę o jakieś sugestie

[PHP] pobierz, plaintext 
require_once "connect.php";
	$polaczenie = @new mysqli($host, $db_user, $db_password, $db_name);
	$wynik= $polaczenie->query("SELECT user from persons where pass=pass_temp"); 
	$wiersz = $wynik->fetch_assoc();
	if(empty($wiersz["user"]))
	{
		header('Location: index.php');
		exit();
	}
	else
	{
	if(isset($_POST['ok']))
	{	
 
		$wszystko_OK=true;
		$user=$wiersz["user"];
		$haslo = $_POST['haslo'];
		$haslo1 = $_POST['haslo1'];
		$haslo2 = $_POST['haslo2'];
 
 
[PHP] pobierz, plaintext 

[viking]

Twoje założenie jet w pewnym sensie słuszne bo zakłada że ostatnia próba jest tą poprawną. Ale jeśli chcesz wykonać jedną z wielu to możesz stworzyć nową tabelkę przechowującą te tymczasowe hasła + id usera i np po poprawnej weryfikacji skasować resztę.

[inomi13]

Kod tak działa że w momencie ustawienia nowego hasła w tabeli "pass_temp" zostanie wpisana pusta wartość

[PHP] pobierz, plaintext 
<?php	
	require_once "connect.php";
	$polaczenie = @new mysqli($host, $db_user, $db_password, $db_name);
	$wynik= $polaczenie->query("SELECT user from persons where pass=pass_temp"); 
	$wiersz = $wynik->fetch_assoc();
	if(empty($wiersz["user"]))
	{
		header('Location: index.php');
		exit();
	}
	else
	{
	if(isset($_POST['ok']))
	{	
 
		$wszystko_OK=true;
		$user=$wiersz["user"];
		$haslo = $_POST['haslo'];
		$haslo1 = $_POST['haslo1'];
		$haslo2 = $_POST['haslo2'];
 
 
 
	if((strlen($haslo)<8) || (strlen($haslo1)<8)||(strlen($haslo)>20) || (strlen($haslo1)>20))
	{
		$wszystko_OK=false;
		$_SESSION['e_haslo']="Hasło musi posiadać od 8 do 20 znaków!";
 
	}
	else
	{
	if($haslo1 != $haslo2)	
	{
		$wszystko_OK=false;
		$_SESSION['e_haslo']="Nowe hasło i jego powtórzenie, nie są takie same!";
	}
	else
	{
 
 
     require_once "connect.php";
	 mysqli_report(MYSQLI_REPORT_STRICT);
 
 
	{
    try
    {
         $polaczenie= mysqli_connect($host,$db_user,$db_password,$db_name);
		 $wynik= $polaczenie->query("SELECT pass from persons where user='$user'"); 
		 $wiersz = $wynik->fetch_assoc();
 
		if ($polaczenie->connect_errno!=0)
         {
             throw new Exception(mysqli_connect_errno());
         }
        else
         {
 
		if(password_verify($haslo, $wiersz['pass']))
		{
			$wszystko_OK=true;
 
			$haslo_hash = password_hash($haslo1, PASSWORD_DEFAULT);
			$zmiana = "UPDATE persons SET pass = '$haslo_hash', pass_temp = '' WHERE user='$user'";
                                if ($polaczenie->query($zmiana) === true)
                                {                                                                                                                                       
                                    $_SESSION['udanazmiana']=true;
									header('Location:pass_confirm_change.php');                                          
		}}
                                 else
								{
                                    $wszystko_OK=false;
									$_SESSION['e_haslo']="Stare hasło jest nie poprawne";
                                }
 
            $polaczenie->close();
        }
    }
	catch(Exception $e)
            {
                    echo '<span style="color:red;">Błąd serwera! Przepraszamy za niedogodności i prosimy o zmianę hasła w innym terminie!</span>';
			        echo '<br />Informacja developerska: '.$e;
            }
	}}}}}
?>
[PHP] pobierz, plaintext 

[dublinka]

skąd taka teza

[inomi13]

[PHP] pobierz, plaintext 
$zmiana = "UPDATE persons SET pass = '$haslo_hash', pass_temp = '' WHERE user='$user'";
[PHP] pobierz, plaintext 

Tak jak mówię, problem jest w momencie jak dwie osoby wygenerowały by procedurę odzyskiwania hasła na e-maila bo wtedy kod zwróci dwie osoby

[SQL] pobierz, plaintext 
SELECT user FROM persons WHERE pass=pass_temp
[SQL] pobierz, plaintext 

Nie mam pomysłu jak rozwiązać ten problem.

[dublinka]

obawiam sie ze nie qmam.

"Tak jak mówię, problem jest w momencie jak dwie osoby wygenerowały by procedurę odzyskiwania hasła na e-maila bo wtedy kod zwróci dwie osoby"

Nie rozumiem tego. Moze wyjasnisz o co ci chodzi.

Nie ma znaczenia ile osob generuje taka procedure. Odwolujesz sie do konkretnego rekordu. Nie kumam dlaczego mialoby to kolidowac z innymi userami.

Po kiego grzyba user ma podawac tymczasowe haslo i nowe haslo ?

Wygeneruj na samym poczatku (rejestracja) jakies haslo -> zapisz do bazy. Czyli login, email, haslo costam co chcesz jeszcze. Oczywiscie powinienes podczas rejestracji zrobic opcje walidacji poprzez email i wtedy dwie tabele z czego jedna na tymczasowe dane i tutaj nalezy dodac pole na TIMESTAMP+czas na walidacje. W mo,mencie kiedy user w ciagu tego czasu kliknie pobieraz dane z linku (jakiestam co chcesz) i teraz laczysz sie z tabelą, pobierasz / sprawdzasz danei i dodajesz do konkretnej ., drugiej tabeli a z tej tymczasowej usuwasz wpis. Jesli uzytkownik nie kliknie w link w przeciagu tego czasu link wygasa -> dodac musisz mechanizm usuniecia automatycznego w momencie sprawdzenia i rowniez gdzies osadzic w innym pliku taki mechanizm. Podczas kazdorazowego wywolania przez userow skrypt bedzie sprawdzal czy czas w tabeli 'tmp' jest mniejszy od aktualnego i jesli tak usuwaj wszystko to co jest 'stare'
Teraz uzytkownik ma opcje zmiany hasla.
Po zalogowaniu uzyj sesji jako nazwe usera i pobierz dane z tabeli gdzie trzymasz dane: login, haslo, email.....
Wtedy WHERE user='$user' (zakladajac ze masz blokade powielania nazw takich samych loginow podczas rejestracji)
Wyswietlasz formularz z dwoma polami do wpisania nowego hasla (opcjonalnie pole na stare haslo)
i zapisujesz.
tyle.
Oczywiscie to w duzym skrucie bo trzeba zwalidowac wszystko po kolei.

Ten post edytował dublinka 24.07.2019, 16:35:08

[inomi13]

W przypadku zapomnienia hasła użytkownik wpisuje adres e-mail i dostaje nowe zahaszowane hasło na emaila. Chciał bym tak zrobić żeby użytkownik po otrzymaniu emaila z hasłem kliknął w link „zmiana hasła” i mógł od razu wpisać otrzymane hasło, nowe swoje hasło i powtórzenie swojego hasła. Teraz do działa ale najpierw użytkownik musi zalogować się otrzymanym tymczasowym hasłem aby mógł sobie zmienić hasło. Wymyśliłem ze w momencie generacji nowego hasła które jest wysyłane do użytkownika tworzy wpis w kolumnie pass oraz pass_temp i na tej podstawie sprawdzam jeżeli pass=pass_temp to wyświetl usera i ta procedura działa tylko problem pojawia się w momencie jeżeli kilka osób chciało by odzyskać hasło w tym samym momencie.

[dublinka]

Dlaczego jest z tym problem? Podaj przyklad bo dalej nie kumam.


Mozna to prosciej zrobic.
Uzytkownik wpisuje adres email w pole txt. Klika dalej.
W momencie wygenerowania tymczasowego hasla slesz email do usera z danymi. Tyle. Nie trzeba tutaj mieszac jakis tymczasowych hasel itp.

W tym samym momencie zmieniasz haslo uzytkownika na haslo wlasnie wygenerowane.

To co opisujesz to opcja zmiany hasla ktoa powinna byc dostepna bedac zalogowanym
Wtedy slesz emaila z parametrami (jakis hasz ktory jest w bazie i email w adresie do weryfikacji) ustawiasz zywotnosc linku, dodajesz tymczasowe wpisy itp.

Ten post edytował dublinka 25.07.2019, 08:37:01

[gitbejbe]

strasznie to zagmatwane.

w ogóle po co jakieś tymczasowe hasło ? skoro - jak sam piszesz, użytkownik i tak je zmieni zaraz po zalogowaniu

User zapomniał hasła, klika w przycisk "resetuj hasło" i wpisuje adres email lub login dla którego ma zostać wysłany email z linkiem.

Link powinien zawierać token po którym strona zweryfikuje że ten użytkownik chce zmienić hasło, moze to wyglądać np:

www.jakastrona.pl/passreset?user=bolek&&token=idhasd12898sd9adjasd9022j1nndsa

to najprostsza wersja. Token generujesz haszując np email, login lub inne stałe dane użytkownika + sól. Klikając w link strona weryfikuje czy użytkownik istnieje, generuje token wg tego samego schematu co podczas tworzenia linka i porównujesz czy się zgadza. Jeśli jest ok, wyświetla formularz zmiany hasła gdzie podaje się już tylko nowe hasło i tyle.

można też zrobić oddzielną tablicę która zawiera tylko tokeny (przykładowa struktura: [id, userID, token, date]), łączysz ją relacją z tablicą users. Wtedy link mógłby już wyglądać tak:

www.jakastrona.pl/passreset?token=idhasd12898sd9adjasd9022j1nndsa

Plus jest taki że hash za każdym razem może być inny, bo masz go zapisanego w bazie. Po kliknięciu w link, sprawdzasz czy token istnieje w bazie i pobierasz dane użytkownika do którego został przypisany. Reszta bez zmian, jeśli jest ok, wyświetlasz formularz w którym user wpisuje nowe hasło. Jeśli chodzi o usuwanie wygasłych tokenów to w tym konkretnie przypadku możesz śmiało wykonywać to przed każdym sprawdzeniem tokena - cronjob nie ma sensu do takiego prostego zadania.