[MySQL][PHP]błąd w skrypcie zmiany hasła Opcje

[kosior11]

Korzystam z takiego skryptu logowania, w którym mam możliwość zmiany hasła, z tym,że jest w nim jeden mały błąd i nie wiem jak go rozwiązać.

Mianowicie aby zmienić hasło trzeba podać aktualne hasło, bo bez tego nie da rady zmienić - to jest OK
Ale np. podając aktualne hasło i np. nie wpisując w ogóle nowego i akceptując ten wybór edycja zostaje zachowana w bazie i użytkownik od tej chwili nie ma w ogóle hasła i tu jest mój problem, jak zrobić, tak:

jeśli wpisane zostało aktualne hasło to musi też zostac wpisane nowe hasło, bo jak nie to wyskoczy błąd

[PHP] pobierz, plaintext 
    // jeśli zostanie podane nowe hasło lub inny email
    if(!empty($_POST['new_password']) || $_POST['email'] != $user_data['user_email']) {
        // sprawdzamy czy zostało podane aktualne hasło
        if(empty($_POST['password'])) {
            $err = '<p>Jeśli chcesz zmienić hasło lub adres email musisz podać aktualne hasło.</p>';
        // jeśli zostało podane to sprawdzamy czy jest poprawne
        } elseif(codepass($_POST['password']) != $user_data['user_password']) {
            $err = '<p>Podane aktualne hasło jest nieprawidłowe.</p>';
        } else {
            // jeśli wszystko jest ok...
            // sprawdzamy czy user chce zmienić hasło
            [b]if(!empty($_POST['new_password'])) { 
            $err = '<p>Jeśli chcesz zmienić hasło musisz podać nowe hasło.</p>';}[/b]
                // jeśli podane dwa hasła są różne to wyświetlamy błąd
                elseif($_POST['new_password'] != $_POST['new_password2']) {
                    $err = '<p>Podane hasła nie są takie same.</p>';
                // jeśli wszystko jest ok, dopisujemy do zmiennej tymczasowej zapytanie do zaktualizowania hasła
                } else {
                    $up2.= ", `user_password` = '".codepass($_POST['new_password'])."'";
                }
 
[PHP] pobierz, plaintext 

Dodałem pogrubioną linię, myślałem że to pomoże ale niestety nic nie dało

[Ruch Radzionków]

[PHP] pobierz, plaintext 
    // jeśli zostanie podane nowe hasło lub inny email
    if(!empty($_POST['new_password']) || $_POST['email'] != $user_data['user_email']) {
        // sprawdzamy czy zostało podane aktualne hasło
        if(empty($_POST['password'])) {
            $err = '<p>Jeśli chcesz zmienić hasło lub adres email musisz podać aktualne hasło.</p>';
        // jeśli zostało podane to sprawdzamy czy jest poprawne
        } elseif(codepass($_POST['password']) != $user_data['user_password']) {
            $err = '<p>Podane aktualne hasło jest nieprawidłowe.</p>';
        } else {
            // jeśli wszystko jest ok...
            // sprawdzamy czy user chce zmienić hasło
            [b]if(!empty($_POST['new_password'])) { 
            $err = '<p>Jeśli chcesz zmienić hasło musisz podać nowe hasło.</p>';}[/b]
                // jeśli podane dwa hasła są różne to wyświetlamy błąd
                elseif($_POST['new_password'] != $_POST['new_password2']) {
                    $err = '<p>Podane hasła nie są takie same.</p>';
                // jeśli wszystko jest ok, dopisujemy do zmiennej tymczasowej zapytanie do zaktualizowania hasła
                } else {
                    $up2.= ", `user_password` = '".codepass($_POST['new_password'])."'";
                }
 
[PHP] pobierz, plaintext 

tu masz błąd:

[PHP] pobierz, plaintext 
[b]if(!empty($_POST['new_password'])) { 
[PHP] pobierz, plaintext 

powinno byc tak:

[PHP] pobierz, plaintext 
if($_POST['new_password'] == '')
[PHP] pobierz, plaintext 

albo

[PHP] pobierz, plaintext 
if(!isset($_POST['new_password']))
[PHP] pobierz, plaintext 

[djgarsi]

Poza tym zabezpiecz cokolwiek ten skrypt bo wieje atakiem.

[wNogachSpisz]

zabezpiecz cokolwiek ten skrypt bo wieje atakiem.

W którym miejscu?

[djgarsi]

W którym miejscu?

We fragmencie ktory podał nie ma zadnego filtrowania danych z formularza. Chyba że przed samym połaczeniem z bazą coś filtruje.

[sobol6803]

[PHP] pobierz, plaintext 
if(!empty($_POST['new_password']))
[PHP] pobierz, plaintext 

To znaczy "jeśli nowe hasło nie jest puste zrób ...". Wywal ten wykrzyknik. Dodatkowo zrób jakieś bardziej zaawansowane sprawdzanie tego pola - trim, sprawdzaj ilość znaków strlen, daj jakiś wymóg, że musi być np. przynajmniej 6 znaków w haśle.

[kosior11]

Zmieniłem, próbowałem obie opcje i mimo wszystko zapisuje bez hasła :/

[Ruch Radzionków]

pokaz cały kod php oraz html może gdzieś indziej masz błąd