如果用户忘记密码,我在如何从概念上处理密码重置方面遇到了一些麻烦。在this SO回答之后,我一直在尝试对我的系统进行建模。
这是我目前的设置:
http://mysite.net/resetpassword.php?id=xxx&username=yyy
verifyNewPassword.php
我的设计必须以某种方式存在缺陷,因为如果密码在verifyNewPassword.php中不匹配,我无法弄清楚如何将用户发送回resetpassword.php。我不能只给他们一个链接点击发送回resetpassword.php,因为该链接还需要来自GET的id和用户名。我尝试将来自resetpassword.php的GET数据发送到verifyNewPassword.php,但由于html位于echo中,我无法弄明白。以下是我的代码摘要:
resetpassword.php:
if ($tokenFound) {
echo "<html>
<body>
<h1>Password Reset</h1>
<form action='verifyNewPassword.php' method='post'>
<input type='password' name='password' placeholder='New Password'><br>
<input type='password' name='confirmpassword' placeholder='Confirm New Password'><br><br>
<input type='submit' value='Reset Password'>
</form>
</body>
</html>";
}
else {
//notify user token is expired or not found. try to reset password again
echo "not a valid token";
}
verifyNewPassword.php:
if ($password != $confirmpassword) {
print "Passwords don't match. Click <a href=\"resetpassword.php\">here</a> to try again.<br/>";
}
else {
echo "passes match";
}
答案 0 :(得分:1)
您写这篇文章的任何方式,将在verifyNewPassword.php中需要这些xxx
和yyy
值。当传递给resetpassword.php时,最佳解决方案会将这些保存在隐藏输入中,与POSTed值一起发送,并再次从verifyNewPassword.php验证它们。
如果要避免链接,可以发送303响应并将Location
标头设置为http://mysite.net/resetpassword.php?id=xxx&username=yyy
,如果要显示错误消息,则设置另一个可选标志。
答案 1 :(得分:0)
我最终将resetpassword中的id和username值传递给验证密码,如下所示:
if ($tokenFound) {
echo '<html>
<body>
<h1>Password Reset</h1>
<form action="verifyNewPassword.php" method="post">
<input type="password" name="password" placeholder="New Password"><br>
<input type="password" name="confirmpassword" placeholder="Confirm New Password"><br><br>
<input type="hidden" name="username" value="' . $username . '">
<input type="hidden" name="id" value="' . $id . '">
<input type="submit" value="Reset Password">
</form>
</body>
</html>';
}
else {
//notify user token is expired or not found. try to reset password again
echo "not a valid token";
}