1. ホーム
  2. 質問と答え
  3. PHPでパスワードを変更する

PHPでパスワードを変更する

2012-03-23 17 views
0

私はPHPでパスワードの変更スクリプトを持っています。私は、以前の画面からユーザが入力した変数を受け取り、それをmysql dbと比較します。古いパスワードが入力したパスワードと一致しない場合は、エラーが発生して失敗します。これは私が今までに持っているコードですが、文字列を変数と比較することはうまくいかないが、比較できるように変換する方法を知る必要があることがわかっています。以下は問題のページです。PHPでパスワードを変更する

現在、パスワードはdbのPlain txtに格納されていますが、後でmd5に変更されます。質問は、入力された値とdbから引き出された値を比較する方法ですか?

<html> 
<head> 
<title>Password Change</title> 
</head> 
<body> 

<?php 

mysql_connect("localhost", "kb1", "BajyXhbRAWSVKPsA") or die(mysql_error()); 
mysql_select_db("kb1") or die(mysql_error()); 

    $todo=mysql_real_escape_string($_POST['todo']); 
    $username=mysql_real_escape_string($_POST['userid']); 
    $password=mysql_real_escape_string($_POST['password']); 
    $password2=mysql_real_escape_string($_POST['password2']); 
    $oldpass=mysql_real_escape_string($_POST['oldpass']); 

///////////////////////// 

if(isset($todo) and $todo == "change-password"){ 
//Setting flags for checking 
$status = "OK"; 
$msg=""; 

//MYSQL query to pull the current password from the database and store it in $q1 

$results = mysql_query("SELECT password FROM kb_users WHERE username = '$username'") or    die(mysql_error()); 
$q1 = mysql_fetch_array($results); 
//print_r($q1) 


//changing the string $oldpass to using the str_split which converts a string to an  array. 

//$oldpass1 = str_split($oldpass,10); 

if(!$q1) 

    { 
     echo "The username <b>$username</b> does not exist in the database. Please   click the retry button to attempt changing the password again. <BR><BR><font face='Verdana'  size='2' color=red>$msg</font><br><center><input type='button' value='Retry'  onClick='history.go(-1)'></center>"; die(); 
    } 

if ($oldpass == $q1){ 

$msg = $msg. "The provided password <b>$oldpass</b> is not the same as what is in the  database. Please click the retry button to attempt changing the password again.<BR><br>"; 

$status = "NOTOK";} 
/* 
if ($q1 <> $oldpass1) {  
$msg = $msg. "The provided password <b>$oldpass</b> is not the same as what is in the  database. Please click the retry button to attempt changing the password again.<BR><br>"; 
$status = "NOTOK"; } 
*/ 

if (strlen($password) < 3 or strlen($password) > 10){ 
$msg=$msg. "Your new password must be more than 3 char legth and a maximum 10 char  length<BR><BR>"; 
$status= "NOTOK";}     

if ($password <> $password2){ 
$msg=$msg. "Both passwords are not matching<BR>"; 
$status= "NOTOK";}     


if($status<>"OK") 
    { 
     echo "<font face='Verdana' size='2' color=black>$msg</font><br><center> <input type='button' value='Retry' onClick='history.go(-1)'></center>"; 
    } 
     else { 
     // if all validations are passed. 

      if (mysql_query("UPDATE kb_users SET password='$password' where   username='$username'") or die(mysql_error())); 

       { 
        echo "<font face='Verdana' size='2' ><center>Thanks  <br> Your password has been changed successfully. Please keep changing your password for  better security</font></center>"; 
       } 
      } 
     } 


?>  
</body> 
</html>

出典

2012-03-23 mcj212

+4

あなたのコードはどのようにあなたのDBにパスワードを保存しているhttp://en.wikipedia.org/wiki/SQL_injection –

+0

になりやすいのですか? –

+1

いいですね。あなたの質問は何ですか?良い(と答えることができる)質問をするためのガイドについては、http://stackoverflow.com/questions/how-to-askをご覧ください。 – Hamish

答えて

1

まず、POSTデータをクエリに直接使用することはお勧めしません。注射を避けるために、まずこのデータをエスケープする方がよいでしょう。

また、ifの使用方法が最良の方法ではないと思います。私の意見では、ステータス変数は必要ありません。この場合は確かです。 $statusは、値をテストする直前にNOTOKに設定されています。したがって、常にNOTOKになります。これにより、スクリプトは決してパスワードを更新しません。

あなたのテストの構造を、私の意見では、より良いものに変更しました。あなたのテストが混ざり合っているので、あなたがテストしたいものをよく見てください。

<html> 
<head> 
    <title>Password Change</title> 
</head> 

<body> 

    <?php 
     // MySQL connection details 

     $todo=mysql_real_escape_string($_POST['todo']); 
     $username=mysql_real_escape_string($_POST['userid']); 
     $password=mysql_real_escape_string($_POST['password']); 
     $password2=mysql_real_escape_string($_POST['password2']); 
     $oldpass=mysql_real_escape_string($_POST['oldpass']); 

     if(isset($todo) and $todo == "change-password"){ 

      $results = mysql_query("SELECT password FROM kb_users WHERE username = '$username'") or    die(mysql_error()); 
      $q1 = mysql_fetch_array($results); 

      if (!$q1) { 
       // The user does not exist in the database. 
      } 

      if ($oldpass == $q1) { 
       // The current password matches the input from the oldpass field. 

       if (strlen($password) > 3 or strlen($password) < 10) { 
        // Password meets requirements 
        if ($password == $password2) { 
         //Passwords match, update the password in the database 
        } 
        else { 
         // The new passwords do not match. 
        } 
       } 
       else { 
        // Password is too short/long 
       } 

      } 
     } 
    ?> 
</body>

出典

2012-03-24 00:07:58 Sander

+0

Thanks Sander 2つの新しいパスワードが一致しない限り、パスワードを更新する直前にステータスが「NOTOK」に更新されていません。私は文字列の長さと一致するパスワードをテストしました。私が抱えている問題は、dbから現在のパスワードを引き出し、それをユーザーが入力している古いパスワードと比較することです。パスワードは現在データベースのプレーンテキストに保存されていますが、後でハッシュまたはmd5に変更されます。 これは、データベースから取得したものと入力したものを比較する問題です。 – mcj212

+0

@ mcj212ああ待ってください。配列を文字列と比較しています。比較する配列の要素を指定する必要があります。 '$ q1 ['field_name']'を使ってください。だから、あなたのケースでは '$ q1 ['password']'。 – Sander

関連する問題

 関連する問題