小贝子编程

密码更改PHP



我正在编写一个简单的脚本,允许用户创建帐户。它没有什么特别之处,它要求的是用户名和密码。我遇到的唯一问题是创建一个允许用户更改密码的脚本。这是我的进步。

它说"你当前的密码不对!",尽管密码很好。我已经有了它,可以用同一页上的另一个代码连接到数据库。

<?php
    $CurrentPassword  = mysql_real_escape_string(strip_tags(stripslashes($_POST['CurrentPassword'])));
    $NewPassword    = mysql_real_escape_string(strip_tags(stripslashes($_POST['NewPassword'])));
    $ConfirmNewPassword = mysql_real_escape_string(strip_tags(stripslashes($_POST['ConfirmNewPassword'])));
    $Submit2      =    mysql_real_escape_string(strip_tags(stripslashes($_POST['Submit2'])));
?>
<?php
    if ($Submit2) {
       $_OLDHASH = hash('sha512',''.$CurrentPassword.'');
       $_NEWHASH = hash('sha512',''.$NewPassword.'');
       $_CONFIRMNEWHASH = hash('sha512',''.$ConfirmNewPassword.'');
       if ($myU->Password == $_OLDHASH) {
           if ($_NEWHASH == $_CONFIRMNEWHASH) {
               mysql_query("UPDATE Password='".$_NEWHASH."' WHERE Username='".$User."'");
               session_destroy();
               header("Location: index.php");
           }
           else {
               echo "Your new password and new confirm password does not match!";
           }
       }
       else {
           echo "Your current password is not right!";
       }
    }
?>

<form action='' method='POST'>
<br />
Update Password
<br />
<input placeholder='Current Password' type='password' name='CurrentPassword'>
<br />
<input placeholder='New Password' type='password' name='NewPassword'>
<br />
<input placeholder='Confirm New Password' type='password' name='ConfirmNewPassword'>
<br />
<input type='submit' value='Change' name='Submit2'><br />
</form>

当你在登录时检查密码时,你是否也对它做了所有这些无关的垃圾?

mysql_real_escape_string(strip_tags(stripslashes()))

因为我可以看到这会导致包含特殊字符的密码出现问题,也就是:强密码。我的建议是根本不要这样做,在将输入包含在查询中之前,您要对其进行哈希处理,因此不可能对该特定字段进行SQL注入。

其他错误:

  1. ''.$NewPassword.''等价于简单的$NewPassword

  2. 为什么?

    ?>
<?php

    这将输出一个原始换行符,该换行符将中断您的header()调用。

尝试制作两个文件:

changePass.html:

<form action='changePass.php' method='POST'>
<br />
Update Password
<br />
<input placeholder='Current Password' type='password' name='CurrentPassword'>
<br />
<input placeholder='New Password' type='password' name='NewPassword'>
<br />
<input placeholder='Confirm New Password' type='password' name='ConfirmNewPassword'>
<br />
<input type='submit' value='Change' name='Submit2'><br />
</form>

和第二个副本Pass.php:

<?php
//    Copy your php code here
?>

因此,当用户想要更改通行证时,请将其指向changePass.html,当他进入表单时,数据将被传输并处理到changePass.php。请注意,表单中的标签/动作参数被添加为changePass.php作为将处理数据的网页。

现在我还注意到SQL查询中有错误的语法,您应该编写以下内容:

mysql_query("更新passwordTable SET密码='".$_NEWHASH."'WHERE用户名='"/$User."'");

相关内容

  • 没有找到相关文章

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium