[PHP/MySQL] Zmiana Hasła - Problem Opcje

[Reptile ReX]

Ostatnio chciałem zrobić u siebie w serwisie opcję do zmiany hasła więc zrobiłem sobie form'a

[HTML] pobierz, plaintext 
Zmiana Hasła: 
<BR><BR><fieldset>
<form action='' method='post'>
Nowe Hasło:<input type='password' name='password'><BR><BR>
Powtórz Hasło:<input type='password' name='password2'><BR><BR>
<input type='submit' name='submit' value='Zmień'>
</form>
</fieldset>
[HTML] pobierz, plaintext 

Teraz zrobiłem taki skrypcik php:

[PHP] pobierz, plaintext 
<?php
if ($_POST['password']==$_POST['password2']){
  $zapyt=mysql_query("SELECT `id`, `login` FROM `users` WHERE `login` = '$nick'");
  $wynik=mysql_fetch_array($zapyt);
  $id=$wynik["id"];
  $change = "UPDATE `db570085`.`users` SET `haslo` = '$password2' WHERE `users`.`id` =$id LIMIT 1";
  }else{
   echo 'Wpisałeś dwa rózne hasła<BR>'; }
   if (@mysql_query ($change)) {
			  echo "Gratulujemy $nick twoje hasło zostało zmienione";
			  } else {
			  echo "Error"; }
?>
[PHP] pobierz, plaintext 

niestety coś chyba z nim nie tak, ponieważ zmiana hasła nie działa poprawnie, zaznaczam że zmienna $nick jest zdefiniowana wcześniej).

Co zrobiłem nie tak? czekam na odpowiedź

Ten post edytował Reptile ReX 27.05.2008, 21:32:40

[nithajasz]

Po pierwsze formularz gdzie wysyłasz? Jeśli masz action puste to skrypt wie tylko tyle, że ma nie robić żadnej akcji.

Mniemam, że $id jak $nick masz wcześniej zdefiniowane? a do $password masz wpisaną zmienną z $_POST?

[Reptile ReX]

Załuzmy że mam podstronę settings.php i na niej jest ten form:
z tego co wiem to

<form action=''>oznacza to samo co np: <form action='settings.php '>

Piszę tak bo mi wpadlo już w nawyk ;]. fakt faktem że to w tym przypadku jest zbedne :]

A co do php, faktycznie nie zdefiniowałem zmiennej $password ;pp
na prostej rzeczy się wyłozyć ;/

zaraz sprawdzę i dam edita

[Shili]

Tak na marginesie - zawsze wykona Ci zapytanie do bazy, tylko w przypadku różnych haseł zapytanie będzie puste. Masz wyłączone raportowanie błędow przy zapytaniu, więc tego nie widzisz.

[Reptile ReX]

@up, co powienienem zrobić?

edit: zmiana hasła działa, tylko teraz problem z tym co Shili mówiłeś, proszę o odpowiedz

Ten post edytował Reptile ReX 27.05.2008, 22:09:03

[pyro]

a tak nawiasem twój kod jest podatny na SQL Injection...

[nithajasz]

@ <- znak małpy (@). Jeśli znak ten zostanie postawiony przed dowolnym wyrażeniem w PHP, jakiekolwiek powiadomienia o błędach wygenerowane przez to wyrażenie zostaną pominięte (nie będą wyświetlone).

Po drugie warunki masz faktycznie dziwne. W ten sposób jak masz wywołujesz zbędnie pustą funkcję..

Ten post edytował nithajasz 27.05.2008, 22:12:09

[Reptile ReX]

pyro - wiem już właśnie zabezpieczyłem się:

[PHP] pobierz, plaintext 
<?php
$pass1 = htmlspecialchars($_POST['password'], ENT_QUOTES);
$pass2 = htmlspecialchars($_POST['password2'], ENT_QUOTES);
?>
[PHP] pobierz, plaintext 

nithajasz - zaraz coś pokombinuję, mógłbyś mi pokazać co jest źle? czy mam sam próbować ?

[pyro]

[b]Reptile ReX[/b], twój kod nadal jest podatny na SQL Injection

[Reptile ReX]

Jak?, gdzie?, kiedy?

[Shili]

zapytanie włóż w ifa ze zgodnymi hasłami - wykona się tylko dla zgodnych haseł.

http://pl.wikipedia.org/wiki/SQL_injection - proponuję tą funkcję mysql
Na razie zabezpieczyłeś się przed code injection

Ten post edytował Shili 27.05.2008, 22:21:22

[pyro]

aaa sorry, zauważyłem tylko htmlspecialchars, nbie zauważyłem ENT_QUOTES

[nithajasz]

[PHP] pobierz, plaintext 
<?php
if ($_POST['password']==$_POST['password2'])
{
	$zapyt=mysql_query("SELECT `id`, `login` FROM `users` WHERE `login` = '$nick'");
	$wynik=mysql_fetch_array($zapyt);
	$id=$wynik["id"];
	$change = "UPDATE `db570085`.`users` SET `haslo` = '$password2' WHERE `users`.`id` =$id LIMIT 1";
	if (mysql_query ($change)) {
			  echo "Gratulujemy $nick twoje hasło zostało zmienione";
	} else {
			  echo "Error"; 
	}
} else {
   echo 'Wpisałeś dwa rózne hasła<BR>'; 
}
?>
[PHP] pobierz, plaintext 

[Reptile ReX]

Hmm jakby nie było "ENT_QUOTES" trzeba było by zrobić tak?:

[PHP] pobierz, plaintext 
<?php
$change = mysql_real_escape_string("UPDATE `db570085`.`users` SET `haslo` = '$password2' WHERE `users`.`id` =$id LIMIT 1");
?>
[PHP] pobierz, plaintext 

to by wystarczyło?

nithajasz - dzięki wielkie

[marcio]

mysql_real_escape_string() daje sie na zmienne z zapytan z sql nie na cale zapytanie