[MySQL][PHP]Edycja rekordu Opcje

[Pcbecaw]

Mam z internetu taki formularz dot. zmiany hasła w panelu użytkownika:

[PHP] pobierz, plaintext 
<form action="" method="post"> 
Podaj login: <input type="text" name="nick" /><br /><br /> 
Podaj email:<input type="text" name="email" /><br /><br /> 
Podaj hasło:<input type="password" name="haslo" /><br /><br /> 
<input name="dalej" type="submit" value="Dalej"><br /><br /> 
</form>
 
<?php include("config.php");
error_reporting(E_ALL^E_NOTICE);
if($_POST['dalej']) 
{ 
$login = strip_tags(htmlspecialchars(mysql_real_escape_string($_POST['nick']))); 
$haslo = substr(addslashes($_POST['haslo']),0,32);
$email = strip_tags(htmlspecialchars(mysql_real_escape_string($_POST['email'])));  
 
if(empty($login) || empty($haslo)  || empty($email)) $wiadomosc .= "Uzupełnij wszystkie pola<br>"; 
 
if(empty($wiadomosc)) 
{ 
 
// sprawdzanie loginu 
 
$log = mysql_query("SELECT * FROM uzytkownicy WHERE nick='".$login."'"); 
$log1 = mysql_num_rows($log); 
 
if($log1 === 0) $wiadomosc .= "Podany login nie istieje<br>"; 
 
// sprawdzanie hasla 
 
$has = mysql_query("SELECT * FROM uzytkownicy WHERE haslo='".$haslo."'"); 
$has1 = mysql_num_rows($has); 
 
if($has1 === 0) $wiadomosc .= "Podane hasło jest nieprawidłowe<br>"; 
 
// sprawdzanie emaila 
 
$ema = mysql_query("SELECT * FROM uzytkownicy WHERE email='".$email."'"); 
$ema1 = mysql_num_rows($ema); 
 
if($ema1 === 0) $wiadomosc .= "Podany email nie istnieje<br>"; 
} 
} 
 
 
 
if($_POST['dalej'] and empty($wiadomosc)) 
{ 
echo ' 
<form action="" method="post"> 
<input type="hidden" name="login" value="'.$login.'">  
Podaj stare hasło <input type="password" name="haslos" /><br /><br /> 
Podaj nowe hasło <input type="password" name="haslo1" /><br /><br /> 
Powtórz nowe hasło <input type="password" name="haslo2" /><br /><br /> 
<input name="zapisz" type="submit" value="Zapisz" /></form> 
'; 
} 
 
 
 
if($_POST['zapisz']) 
{ 
$login = strip_tags(htmlspecialchars(mysql_real_escape_string($_POST['login']))); 
$haslos = substr(addslashes($_POST['haslos']),0,32);
$haslo1 = substr(addslashes($_POST['haslo1']),0,32);
$haslo2 = substr(addslashes($_POST['haslo2']),0,32);
 
if(empty($haslos) || empty($haslo1)  || empty($haslo2)) $wiadomosc .= "Uzupełnij wszystkie pola<br>"; 
 
if(empty($wiadomosc)) 
{ 
$has = mysql_query("SELECT * FROM uzytkownicy WHERE haslo='".$haslos."'"); 
$has1 = mysql_num_rows($has); 
 
if($has1 === 0) $wiadomosc .= "Stare hasło nie pasuje<br>"; 
if($haslo1 != $haslo2) $wiadomosc .= "Hasła są różne<br>"; 
} 
if(empty($wiadomosc)) 
{ 
 
$zapytanie1 = 'UPDATE `uzytkownicy` SET `haslo`= "'.$haslo2.'" WHERE `nick`="'.$login.'"'; 
$idzapytania1 = mysql_query($zapytanie1) or die(mysql_error());  
$wiadomosc .= "hasło zostało zmienione<br>"; 
} 
} 
echo $wiadomosc; 
?>
[PHP] pobierz, plaintext 

W bazie hasła w rejestracji koduje tak:

[PHP] pobierz, plaintext 
$haslo = substr(addslashes($_POST['haslo']),0,32);
[PHP] pobierz, plaintext 

Teraz problem pojawia się w edycji i uwierzytelnianiu. Po wpisaniu hasła takiego, jak przy rejestracji, wyskakuje komunikat, że hasła są nieprawidłowe. Jednak po skopiowaniu zakodowanego hasła i wpisanie go w pole formularza - wszystko jest ok. Błędem jest odkodowywanie hasła w pliku dot. edycji hasła. Jak to naprawić?
Dzięki, pozdrawiam

[mortus]

Wyrzuć to do kosza i napisz własny skrypt. Tego:

[PHP] pobierz, plaintext 
$haslo = substr(addslashes($_POST['haslo']),0,32);
[PHP] pobierz, plaintext 

kodowaniem nazwać nie można. Powyższy fragment wycina 32 znaki z ciągu podanego przez użytkownika (niejawnie go oszukując) i troszkę zmodyfikowanego. Skrypt w ogóle nie jest bezpieczny, a tu się jeszcze hasło skraca. W dodatku autor nie używa żadnej funkcji hashującej. Ciekawym "zabiegiem" posłużył się autor skryptu wyłączając raportowanie uwag (E_NOTICE), co dało mu możliwość nadużywania funkcji empty(). Tymczasem empty() powinno mieć nieco inne zastosowanie.

Poszukaj na forum, a z pewnością znajdziesz bardziej odpowiednie rozwiązania, a na pewno konkretne podpowiedzi.

[Turson]

Wystarczy funkcja update bazy danych.
A hasło pierw zakoduj md5

[Pcbecaw]

Zabrałem z kodu tylko kawałek, lekko przerobiłem, działa, wywala notice i wyszło coś takiego:

[PHP] pobierz, plaintext 
echo ' 
<form action="" method="post"> 
<input type="hidden" name="login" value="'.$login.'">  
Podaj stare hasło <input type="password" name="haslos" /><br /><br /> 
Podaj nowe hasło <input type="password" name="haslo1" /><br /><br /> 
Powtórz nowe hasło <input type="password" name="haslo2" /><br /><br /> 
<input name="zapisz" type="submit" value="Zapisz" /></form> 
'; 
 
 
 
 
if($_POST['zapisz']) 
{ 
$login = strip_tags(htmlspecialchars(mysql_real_escape_string($_POST['login']))); 
$haslos = md5(addslashes($_POST['haslos']));
$haslo1 = md5(addslashes($_POST['haslo1']));
$haslo2 = md5(addslashes($_POST['haslo2']));
 
if(empty($haslos) || empty($haslo1)  || empty($haslo2)) $wiadomosc .= "Uzupełnij wszystkie pola<br>"; 
 
if(empty($wiadomosc)) 
{ 
$has = mysql_query("SELECT * FROM uzytkownicy WHERE haslo='".$haslos."'"); 
$has1 = mysql_num_rows($has); 
 
if($has1 === 0) $wiadomosc .= "Stare hasło nie pasuje<br>"; 
if($haslo1 != $haslo2) $wiadomosc .= "Hasła są różne<br>"; 
} 
if(empty($wiadomosc)) 
{ 
 
$zapytanie1 = 'UPDATE `uzytkownicy` SET `haslo`= "'.$haslo2.'" WHERE `nick`="'.$login.'"'; 
$idzapytania1 = mysql_query($zapytanie1) or die(mysql_error());  
$wiadomosc .= "hasło zostało zmienione<br>"; 
} 
} 
echo $wiadomosc; 
[PHP] pobierz, plaintext 

Notice jest tutaj - if (empty($user[id]) OR !isset($user[id])) {
tutaj - echo 'Witaj '.$user[nick].' zostałe/a pomylnie zalogowany/a, tutaj umieć ukryta strone tylko dla zalogowanych';
tutaj - if($_POST['zapisz'])
i tutaj - echo $wiadomosc;
jak to, niezdefiniowane? Jakby to usprawnić zważając na to, że chciałbym mieć poprawny ten kod.

[mortus]

Po pierwsze zauważ, że element tablicy $_POST['zapisz'] istnieje (jest ustawiony, ang. isset) tylko wtedy, gdy wyślesz dane poprzez formularz. Oznacza to, że przy każdym pierwszym wejściu na stronę będzie pojawiał się komunikat uwagi NOTICE, ponieważ takiego elementu jeszcze w talicy $_POST nie ma. W tym przypadku trzeba zastąpić linię 13 takim kodem (który de facto niewiele się różni):

[PHP] pobierz, plaintext 
if(isset($_POST['zapisz'])) {
[PHP] pobierz, plaintext 

Użytkownika powinieneś identyfikować po jego id, a nie po loginie. Skoro jest to formularz zmiany hasła i możesz określić login użytkownika, to i możesz określić jego id. Zastąp zatem ukryte pole login ukrytym polem id, i przekazuj w nim identyfikator użytkownika.
Trzecia sprawa to kwestia użycia funkcji empty(). Po co kodować pusty łańcuch znaków (bo to się właśnie dzieje, gdy użytkownik nie uzupełni któregoś z pól)? Linie 16, 17 i 18 powinny się znaleźć dopiero w bloku if(empty($wiadomosc)) {. Natomiast instrukcja warunkowa w linii 20 powinna wyglądać tak:

[PHP] pobierz, plaintext 
if(empty($_POST['haslos']) || empty($_POST['haslo1']) || empty($_POST['haslo2']))
[PHP] pobierz, plaintext 

Pozostaje jeszcze kwestia użycia funkcji addslashes(). Modyfikuje ona hasło podane przez użytkowniaka, a wcale nie jest tutaj potrzebna. Oznacza to tyle, że hasło w bazie danych nie jest hasłem użytkownika. Jest wiele sposobów na zabezpieczenie hasła np. sól, podwójne hashowanie lub "miks" obu wspomnianych metod, itp.

[Pcbecaw]

Pozmieniałem, są jeszcze notice, ale nie tutaj tkwi błąd. Mianowicie: nie zmienia haseł w bazie. Co może być tego powodem?

[PHP] pobierz, plaintext 
<?php include("config.php");
 
$nick = $_SESSION['nick'];
$haslo = $_SESSION['haslo'];
	if ((empty($nick)) AND (empty($haslo))) {
echo '<br>Nie byłe zalogowany albo zostałe wylogowany<br><a href="index.php">Strona Główna</a><br>';
exit;
}
$user = mysql_fetch_array(mysql_query("SELECT * FROM uzytkownicy WHERE `nick`='$nick' AND `haslo`='$haslo' LIMIT 1"));
	if (empty($user[id]) OR !isset($user[id])) {
echo '<br>Nieprawidłowe logowanie.<br>';
exit;
}
// tresc dla zalogowanego uzytkownika
echo 'Witaj '.$user[nick].' zostałe/a pomylnie zalogowany/a, tutaj umieć ukryta strone tylko dla zalogowanych';
echo '<br><a href="wyloguj.php">Wyloguj mnie</a>';
echo ' 
<form action="" method="post"> 
<input type="hidden" name="login" value="'.$login.'">  
Podaj stare hasło <input type="password" name="haslos" /><br /><br /> 
Podaj nowe hasło <input type="password" name="haslo1" /><br /><br /> 
Powtórz nowe hasło <input type="password" name="haslo2" /><br /><br /> 
<input name="zapisz" type="submit" value="Zapisz" /></form> 
'; 
 
 
 
 
if(isset($_POST['zapisz']))
{ 
if(empty($wiadomosc)) {
$haslos = md5(sha1($_POST['haslos']));
$haslo1 = md5(sha1($_POST['haslo1']));
$haslo2 = md5(sha1($_POST['haslo2']));
}
 
if(empty($_POST['haslos']) || empty($_POST['haslo1']) || empty($_POST['haslo2']))
 
{ 
$has = mysql_query("SELECT * FROM uzytkownicy WHERE haslo='".$haslos."'"); 
$has1 = mysql_num_rows($has); 
 
if($has1 === 0) $wiadomosc .= "Stare hasło nie pasuje<br>"; 
if($haslo1 != $haslo2) $wiadomosc .= "Hasła są różne<br>"; 
} 
if(empty($wiadomosc)) 
{ 
 
$zapytanie1 = 'UPDATE `uzytkownicy` SET `haslo`= "'.$haslo2.'" WHERE `nick`="'.$user[id].'"'; 
$idzapytania1 = mysql_query($zapytanie1) or die(mysql_error());  
$wiadomosc .= "hasło zostało zmienione<br>"; 
} 
} 
echo $wiadomosc; 
?>
[PHP] pobierz, plaintext