[PHP][MySQL]Skrypt przypomnienia hasła Opcje

[adrianozo]

Witam.
Napisałem jakiś tam skrypt przypomnienia(wygenerowania nowego hasła)
Chciałbym się dowiedzieć co tutaj z nim jest nie tak. Wszystko działa tylko może coś źle obmyśliłem?
Proszę o porady.

[PHP] pobierz, plaintext 
<?php
$email = strip_tags(htmlspecialchars(stripslashes(trim(mysql_real_escape_string($_POST['email'])))));
if(isset($_POST['email']))
{
    echo '<div align="center"><form action="index.php?page=lostpassword" method="post">
    <input type="hidden" name="send" value="1">
    <br />Podaj adres email:<input type="text" name="email" value="'.$_POST['email'].'" /><br /><br />
    <input class="przycisk_admin" name="reset" type="submit" value="Resetuj hasło">
    </form><br /><br /></div>';
}
else
{
    echo '<div align="center"><form action="index.php?page=lostpassword" method="post">
    <input type="hidden" name="send" value="1">
    <br />Podaj adres email:<input type="text" name="email" /><br /><br />
    <input class="przycisk_admin" name="reset" type="submit" value="Resetuj hasło">
    </form><br /><br /></div>';
}
if(isset($_POST['reset'])) 
{
    $zapytanie = mysql_query("SELECT * FROM `user` WHERE `email` = '".$_POST['email']."'");
    if(!$_POST["email"] || !preg_match("/^[-0-9a-zA-Z_\.]+@([-0-9a-zA-Z_\.]+\.)+([0-9a-zA-Z]){2,4}$/i", $_POST["email"]))
    {
        echo '<font color="red">Podany email jest nieprawidłowy.</font><br />';
    }
    elseif(!mysql_num_rows($zapytanie)) 
    {
        echo 'Nie znaleziono takiego adresu email!';
    }
    else
    {
        while($wiersz = mysql_fetch_array($zapytanie))
        {
            $email = $wiersz['email'];
        }
        $haslo = substr(md5(date("d.m.Y.H.i.s").rand(1,1000000)) , 0 , 10);
        $kod = str_shuffle("qwertyuiopasdfghjklzxcvbnm1234567890");
        $nowehaslo = "INSERT INTO `hasla` (`email`, `haslo`, `klucz`) VALUES ('".$email."', '".$haslo."', '".$kod."')";
        $idnowehaslo = mysql_query($nowehaslo) or die(mysql_error());
        $naglowki = 'MIME-Version: 1.0' . "\r\n";
        $naglowki .= 'Content-type: text/html; charset=utf-8' . "\r\n";
        $naglowki .= 'To: <>' . "\r\n";
        $naglowki .= 'From: <gazetka.sieniu.czest.pl>' . "\r\n";
        mail($email, 'Przypomnienie hasła na gazetka.sieniu.czest.pl', '<html><body><br /><b>Witaj <b>'.$loginek.'</b>!<br /><br /><br />Na koncie <b>'.$loginek.'</b> zostało zresetowane hasło.<br /><b>Nowe hasło brzmi: '.$haselko.'</b><br /><br />W celu potwierdzenia zmiany hasła kliknij w poniższy odnośnik:<br /><a href="http://gazetka4lo.cba.pl/index.php?page=lostpassword&code='.$kod.'">http://gazetka4lo.cba.pl/index.php?page=lostpassword&code='.$kod.'</a><br /><br />Jeśli nie resetowałeś hasła na koncie <b>'.$loginek.'</b> po prostu zignoruj tego maila.<br /><br /><br />------<br />Wiadomość wygenerowana automatycznie<br />przez serwis gazetka.sieniu.czest.pl</body></html>', $naglowki);
        if($idnowehaslo === TRUE)
        {
            echo 'Nowe hasło zostało wysłane na podany adres email!';
        }
        else
        {
            echo 'Nie udało się zresetować hasła.<br />Prosimy spróbować ponownie za jakiś czas!';
        }
    }
}
if(isset($_GET['code']))
{
    if($_GET['code'])
    {
        $klucz = strip_tags(htmlspecialchars(stripslashes(trim(mysql_real_escape_string($_GET['code'])))));
        $zap = mysql_query("SELECT * FROM `hasla` WHERE `klucz`= '".$klucz."'");
        while($wiersz = mysql_fetch_array($zap))
        {
        $emailii = $wiersz['email'];
        $haslii = strip_tags(htmlspecialchars(stripslashes(trim(mysql_real_escape_string(md5(sha1($wiersz['haslo'])))))));
        }
        $zapytanie = mysql_query("UPDATE `user` SET `haslo` = '".$haslii."' WHERE `email` = '".$emailii."'") or die(mysql_error());
        if(mysql_affected_rows()==1)
        {
            echo '<div align="center"><br /><font color="green"><b>Aktywacja nowego hasła ukończona pomyślnie. Możesz już korzystać z naszego serwisu.<br /><a style="text-decoration: none;" href="index.php">Przejdź do logowania</a></b></font><br /><br /></div>';
        }
        elseif(mysql_affected_rows()==0)
        {
            echo '<div align="center"><br /><font color="orange"><b>Podane hasło jest już aktywne.</b></font><br /><br /></div>';
        }
        else
        {
            echo '<div align="center"><br /><font color="red"><b>Podano nieistniejący kod aktywacyjny.</b></font><br /><br /></div>';
        }
    }
}
?>
[PHP] pobierz, plaintext 

Ten post edytował adrianozo 12.10.2010, 20:28:22

[Otto]

Nowe hasło jest od razu generowane i kodowane w md5 i nigdy nie jest gdzie indziej zapisywane więc skąd użytkownik ma wiedzieć jakie dostał hasło? Niby w mailu dostaje wiadomość z nowym hasłem ale zmienna $hasełko nigdzie nie jest ustawiana. Proponowałbym dać możliwość ustawienia własnego nowego hasła.

[adrianozo]

Już poprawiłem. Później będzie miał użytkownik możliwość zmiany hasła na swoje w swoim panelu.

[PHP] pobierz, plaintext 
<?php
$email = strip_tags(htmlspecialchars(stripslashes(trim(mysql_real_escape_string($_POST['email'])))));
if(isset($_POST['email']))
{
    echo '<div align="center"><form action="index.php?page=lostpassword" method="post">
    <input type="hidden" name="send" value="1">
    <br />Podaj adres email:<input type="text" name="email" value="'.$_POST['email'].'" /><br /><br />
    <input class="przycisk_admin" name="reset" type="submit" value="Resetuj hasło">
    </form><br /><br /></div>';
}
else
{
    echo '<div align="center"><form action="index.php?page=lostpassword" method="post">
    <input type="hidden" name="send" value="1">
    <br />Podaj adres email:<input type="text" name="email" /><br /><br />
    <input class="przycisk_admin" name="reset" type="submit" value="Resetuj hasło">
    </form><br /><br /></div>';
}
if(isset($_POST['reset'])) 
{
    $zapytanie = mysql_query("SELECT * FROM `user` WHERE `email` = '".$_POST['email']."'");
    if(!$_POST["email"] || !preg_match("/^[-0-9a-zA-Z_\.]+@([-0-9a-zA-Z_\.]+\.)+([0-9a-zA-Z]){2,4}$/i", $_POST["email"]))
    {
        echo '<font color="red">Podany email jest nieprawidłowy.</font><br />';
    }
    elseif(!mysql_num_rows($zapytanie)) 
    {
        echo 'Nie znaleziono takiego adresu email!';
    }
    else
    {
        while($wiersz = mysql_fetch_array($zapytanie))
        {
            $email = $wiersz['email'];
            $loginek = $wiersz['loginek'];
        }
        $haslo = substr(md5(date("d.m.Y.H.i.s").rand(1,1000000)) , 0 , 10);
        $kod = str_shuffle("qwertyuiopasdfghjklzxcvbnm1234567890");
        $nowehaslo = "INSERT INTO `hasla` (`email`, `haslo`, `klucz`) VALUES ('".$email."', '".$haslo."', '".$kod."')";
        $idnowehaslo = mysql_query($nowehaslo) or die(mysql_error());
        $naglowki = 'MIME-Version: 1.0' . "\r\n";
        $naglowki .= 'Content-type: text/html; charset=utf-8' . "\r\n";
        $naglowki .= 'To: <>' . "\r\n";
        $naglowki .= 'From: <gazetka.sieniu.czest.pl>' . "\r\n";
        mail($email, 'Przypomnienie hasła na gazetka.sieniu.czest.pl', '<html><body><br />Witaj <b>'.$loginek.'</b>!<br /><br /><br />Na koncie <b>'.$loginek.'</b> zostało zresetowane hasło.<br /><b>Nowe hasło brzmi: '.$haslo.'</b><br /><br />W celu potwierdzenia zmiany hasła kliknij w poniższy odnośnik:<br /><a href="http://gazetka4lo.cba.pl/index.php?page=activepassword&code='.$kod.'">http://gazetka4lo.cba.pl/index.php?page=activepassword&code='.$kod.'</a><br /><br />Jeśli nie resetowałeś hasła na koncie <b>'.$loginek.'</b> po prostu zignoruj tego maila.<br /><br /><br />------<br />Wiadomość wygenerowana automatycznie<br />przez serwis gazetka.sieniu.czest.pl</body></html>', $naglowki);
        if($idnowehaslo === TRUE)
        {
            echo 'Nowe hasło zostało wysłane na podany adres email!
            <meta http-equiv="refresh" content="1;url=http://gazetka4lo.cba.pl">';
        }
        else
        {
            echo 'Nie udało się zresetować hasła.<br />Prosimy spróbować ponownie za jakiś czas!';
        }
    }
}
?>
[PHP] pobierz, plaintext 

Aktywacja jest w osobnym pliku

[PHP] pobierz, plaintext 
<?php
if(isset($_GET['code']))
{
    if($_GET['code'])
    {
        $klucz = strip_tags(htmlspecialchars(stripslashes(trim(mysql_real_escape_string($_GET['code'])))));
        $zap = mysql_query("SELECT * FROM `hasla` WHERE `klucz`= '".$klucz."'");
        while($wiersz = mysql_fetch_array($zap))
        {
        $emailii = $wiersz['email'];
        $haslii = strip_tags(htmlspecialchars(stripslashes(trim(mysql_real_escape_string(md5(sha1($wiersz['haslo'])))))));
        }
        $zapytanie = mysql_query("UPDATE `user` SET `haslo` = '".$haslii."' WHERE `email` = '".$emailii."'") or die(mysql_error());
        if(mysql_affected_rows()==1)
        {
            echo '<div align="center"><br /><font color="green"><b>Aktywacja nowego hasła ukończona pomyślnie. Możesz już korzystać z naszego serwisu.<br /><a style="text-decoration: none;" href="index.php">Przejdź do logowania</a></b></font><br /><br /></div>';
            $zapyt = mysql_query("DELETE FROM `hasla` WHERE `email`='".$emailii."'");
        }
        else
        {
            echo '<div align="center"><br /><font color="red"><b>Podano nieistniejący kod aktywacyjny.</b></font><br /><br /></div>';
        }
    }
}
?>
[PHP] pobierz, plaintext 

[Otto]

[PHP] pobierz, plaintext 
    $haslo = substr(md5(date("d.m.Y.H.i.s").rand(1,1000000)) , 0 , 10);
        $kod = str_shuffle("qwertyuiopasdfghjklzxcvbnm1234567890");
        $nowehaslo = "INSERT INTO `hasla` (`email`, `haslo`, `klucz`) VALUES ('".$email."', '".$haslo."', '".$kod."')";
        $idnowehaslo = mysql_query($nowehaslo) or die(mysql_error());
        $naglowki = 'MIME-Version: 1.0' . "\r\n";
        $naglowki .= 'Content-type: text/html; charset=utf-8' . "\r\n";
        $naglowki .= 'To: <>' . "\r\n";
        $naglowki .= 'From: <gazetka.sieniu.czest.pl>' . "\r\n";
        mail($email, 'Przypomnienie hasła na gazetka.sieniu.czest.pl', '<html><body><br />Witaj <b>'.$loginek.'</b>!<br /><br /><br />Na koncie <b>'.$loginek.'</b> zostało zresetowane hasło.<br /><b>Nowe hasło brzmi: '.$haslo.'</b>
[PHP] pobierz, plaintext 

Pierw kodujesz hasło w md5 potem zakodowane wysyłasz do użytkownika? Trochę to bez sensu

[adasiu]

[PHP] pobierz, plaintext 
    $haslo = substr(md5(date("d.m.Y.H.i.s").rand(1,1000000)) , 0 , 10);
        $kod = str_shuffle("qwertyuiopasdfghjklzxcvbnm1234567890");
        $nowehaslo = "INSERT INTO `hasla` (`email`, `haslo`, `klucz`) VALUES ('".$email."', '".$haslo."', '".$kod."')";
        $idnowehaslo = mysql_query($nowehaslo) or die(mysql_error());
        $naglowki = 'MIME-Version: 1.0' . "\r\n";
        $naglowki .= 'Content-type: text/html; charset=utf-8' . "\r\n";
        $naglowki .= 'To: <>' . "\r\n";
        $naglowki .= 'From: <gazetka.sieniu.czest.pl>' . "\r\n";
        mail($email, 'Przypomnienie hasła na gazetka.sieniu.czest.pl', '<html><body><br />Witaj <b>'.$loginek.'</b>!<br /><br /><br />Na koncie <b>'.$loginek.'</b> zostało zresetowane hasło.<br /><b>Nowe hasło brzmi: '.$haslo.'</b>
[PHP] pobierz, plaintext 

Pierw kodujesz hasło w md5 potem zakodowane wysyłasz do użytkownika? Trochę to bez sensu

Na mój gust to tu nigdzie hasło kodowane nie jest tylko tworzone nowe. Faktem jest, że nie jest haszowane...

[Otto]

A no masz racje Nie uważnie przeczytałem kod

Ten post edytował Otto 13.10.2010, 20:32:35

[adrianozo]

Hasło haszowane jest po kliknięciu w link z email