ユーザーにパスワードをリセットする良いオプションを探してください

Question

パスワードを忘れたときにパスワードをリセットするようにメールを送信したいと思います。私はこれが議論の余地があり、いくつかの良いオプション/提案/方法/記事を探していたことを知っています。

私はこれをやってPHPの部分との単純なスクリプトでリンク「パスワードを忘れてしまった」押すようにユーザに促すよ：

$Email = $_POST['email']; 
$success = false; 
$formError = false; 

if(isset($_POST['sub_forgot_pw'])) { 

    if(empty($_POST['email'])) { 
     $formError = "true"; 
     $error = "Please enter your e-mail address."; 
    }else{ 
     $to = $Email; 
     $subject = "Password Help"; 
     $message = "To reset your password, please <a href='http://www.blahblahblah.org'>Click here</a><br /><br />Do LIFE,<br /> The Team"; 
     $from = "CysticLife <noreply@cysticlife.org>"; 
     $headers = 'MIME-Version: 1.0' . "\n"; 
     $headers .= 'Content-type: text/html; charset=iso-8859-1' . "\n"; 
     $headers .= "From: $from"; 
     if(mail($to, $subject, $message, $headers));{ 
      $success = "true"; 
     } 


    } 

} 

Answer 1

は、ここで私は何をすべきかです：

私はテーブルをreset_passwordています。誰かがリセットを要求すると、通常、「パスワードを忘れました」というサイトのリンクをクリックして、登録した電子メールを入力し、システムからリンクが送信されます。 もちろん、ユーザーが登録されているかどうかを調べることから始めます。 email = $ _POST ['email']のユーザーから選択してください。それらが存在する場合は は、

$token = md5($_POST['email'].time()); 

のように、ランダムに生成されたトークンを作る。しかしBUH BUHは以下のコメントで表現されるように、あなたのトークンを生成するために少し何かを明らかに使用することもできます。もしあなたが好きなら、crypt()は塩のパターンを受け入れることができます。

reset_passwordテーブルの要求（Eメールおよびトークン）を挿入し、その後、あなたが取るそのファイルにその後

http://www.domain.com/resetpassword.php?token=<?php echo $token; ?> 

のようにそれらにリンクを送信$ _GET [「トークン」]とクロスでそれを参照reset_passwordテーブルトークンが有効な場合は、新しいパスワードを要求するフォームを提示します。 送信時に、そのトークンに関連する電子メールアドレスを持つユーザーを選択し、ユーザーテーブルを更新します。

Answer 2

ネットワークを盗聴する人には、URLを失う危険があります。これを避けるには、vX4dqなどのランダムなショートキーを生成してデータベースに保存します。ユーザーにこれを覚えてもらいます。ユーザーがリンクを介してリセットされたときは、知っているだけのこのキーを入力するように頼んでください。

アドバンス： - このキーをキャプチャで表示して、盗聴されないようにすることができます。