1. 首页
  2. 问答
  3. 更改密码功能

更改密码功能

2013-03-28 73 views
1

我把以下代码放在一起。但由于某种原因,它拒绝更新数据库,并且不管输入什么内容,它都会一直回显$错误“您当前的密码不正确”。更改密码功能

下面是主changepassword.php

<?php 
include 'core/init.php'; //connection to database and checks user sessions 
protect_page(); //useres not loged in cannot access this page 

if (empty($_POST) === false) { 
    $required_fields = array('current_password', 'password', 'password_again'); 
    foreach($_POST as $key=>$value) { 
     if (empty($value) && in_array($key, $required_fields) === true) { 
      $errors[] = 'All fields marked with an * are required.'; //check that all fields are completed 
      break 1; 
     } 
    } 

    if (md5($_POST['current_password']) === $user_data['password']) { //if equal to current password 
     if (trim($_POST['password']) !== trim($_POST['password_again'])) { 
      $errors[] = 'Your new passwords do not match'; 
     } else if (strlen($_POST['password']) < 6) { 
      $errors[] = 'Your password must be at least 6 characters'; 
     } 
    } else { 
     $errors[] = 'Your current password is incorrect'; //else append error 
    } 
} 

include 'includes/overall/header.php'; 
?> 

<h1>Change Password</h1> 
<p>Change your account password here.</p> 

<?php 
if (isset($_GET['success']) && empty($_GET['success'])) { 
    echo 'Your password has been changed'; 
} else { 

    if (empty($_POST) === false && empty($errors) === true) { 
     change_password($session_user_id, $_POST['password']); 
     header('Location: changepassword.php?success'); 
    } else if (empty($errors) === false) { 
     echo output_errors($errors); 
    } 
    ?> 

    <form action="" method="post"> 

     <ul> 
     <li> 
      Current Password*:<br> 
      <input type="password" name"current_password"> 
     </li> 
     <li> 
      New Password*:<br> 
      <input type="password" name"password"> 

     </li> 
     <li> 
      New Password Again*:<br> 
      <input type="password" name"password_again"> 
     </li> 
     <li> 
      <input type="submit" name="Change Password" /> 
     </li> 
     </ul> 

    </form> 

<?php 
} 
include 'includes/overall/footer.php'; ?>

这里是

//change password function 
function change_password($membersID, $password) { 
    $membersID = (int)$membersID; 
    $password = md5($password); 
    //update password in database 
    mysql_query("UPDATE`members` SET`password` = '$password' WHERE`membersID` = $membersID"); 
}

USER_DATA这里

//user data variable to pass in sessionID and thus pass in their other details 
if (logged_in() === true) { 
    $session_user_id = $_SESSION['membersID']; //picking up the particular user 
    $user_data = user_data($session_user_id, 'membersID', 'username','password', 'forename', 'surename', 'email', 'age'); //picks up the fields declared here - MAKE SURE TO PASS ALL paramameters you need to output. 
    if (user_active($user_data['username']) === false) { 
     session_destroy(); 
     header('Location: index.php'); 
     exit(); 
    } 

}

来源

2013-03-28 Ryan Collins ッ

+0

'$ user_data ['password']'从哪里来?它没有在页面的任何其他地方声明/使用。 – 2013-03-28 00:15:45

+0

我已经将它添加到我的问题的底部现在好友 – 2013-03-28 00:17:14

回答

0

声明的查询缺少报价的changepassword功能。

function change_password($membersID, $password) { 
    $membersID = (int)$membersID; 
    $password = mysql_real_escape_string(md5($password)); 
    //update password in database 
    mysql_query("UPDATE members SET password = '$password' WHERE membersID = '$membersID';"); 
    if (mysql_affected_rows > 0) { 
     return true; 
    } else { 
     return false; 
    } 
} 


if (empty($_POST) === false && empty($errors) === true) { 
    if(change_password($session_user_id, $_POST['password'])) { 
     // Redirect if change_password returns true 
     header('Location: changepassword.php?success'); 
    } else { 
     // Give some error message 
    } 
} else if (empty($errors) === false) { 
    echo output_errors($errors); 
}

尝试这些更改,我不知道如果change_password函数返回false,您想以何种方式处理错误。

来源

2013-03-28 00:58:52 DavidC799

+0

这加上其他的东西帮助修复它 - 再次欢呼大卫!可以排名你,因为我没有一个排名 – 2013-03-28 14:59:13

1

对不起我的第一个答案是不正确的,但是关于MD5警告仍持有:

请记住,你的密码架构是非常不安全的,您也应提高一些重要的点。

  • 散列函数MD5不apporpriate哈希密码,因为 它是如何得太快,而是使用慢速键导出函数一样 BCrypt。我会邀请您,在我的 tutorial中阅读关于安全密码存储的更多信息。
  • 直接比较密码哈希值,只有在没有使用 盐的情况下才可以。一个无盐MD5哈希比存储 密码明文更安全。使用包含少于7个字符的密码破解整个数据库只需几秒钟。
  • mysql *函数不推荐使用,建议使用PDOmysqli代替。请记住,通常您必须在SQL语句中转义字符串值(准备好的语句或mysqli_real_escape_string())。你的例子将是安全的,因为MD5的输出总是安全的。

来源

2013-03-28 07:54:08 martinstoeckli

+1

尝试此更改,仍然输出相同的错误“您当前的密码不正确” – 2013-03-28 10:22:26

+0

@RyanCollinsッ - 抱歉,我的错误。我会首先测试'$ user_data ['password']'的内容,它似乎不包含存储的密码哈希。您可以在回显错误时执行此操作,只需添加'echo $ user_data ['password']'。 – martinstoeckli 2013-03-28 10:51:14

+0

我加了eco} else { \t \t $ errors [] ='您当前的密码不正确'; \t // else追加错误 \t \t echo $ user_data ['password']; \t} } – 2013-03-28 12:27:31

相关问题

 相关问题