我正在尝试创建一个忘记密码页面。我听说通过电子邮件将原始密码发送给用户并不是一个好主意所以我试图创建一个随机确认密码,他们可以用来登录他们的帐户,然后将密码更改为他们想要的任何密码。到目前为止,问题是它说用户的电子邮件实际上并不在数据库中。另外,我应该更新数据库以存储随机密码还是我的工作方式?我的数据库有表用户名,fristname,电子邮件和密码。我要求用户以html格式发送电子邮件地址,然后将其发送到此php表单。这是我第一次尝试这样做,因此它可能会有很多错误,但我找到了一个教程来帮助一些,所以它不应该。谢谢您的帮助。
<!--
To change this template, choose Tools | Templates
and open the template in the editor.
-->
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Sending Password</title>
</head>
<body>
<?php
$db_server = "server";
$db_username = "name";
$db_password = "pass";
$con = mysql_connect($db_server, $db_username, $db_password);if (!$con)
{
die('Could not connect: ' . mysql_error());
}
$database = "Test_Members";
$er = mysql_select_db($db_username);
if (!$er)
{
print ("Error - Could not select the database");
exit;
}
//include "session.php";
function createRandomPassword() {
$chars = "abcdefghijkmnopqrstuvwxyz023456789";
srand((double)microtime()*1000000);
$i = 0;
$pass = '' ;
while ($i <= 7) {
$num = rand() % 33;
$tmp = substr($chars, $num, 1);
$pass = $pass . $tmp;
$i++;
}
return $pass;
}
$password = createRandomPassword();
$password =$_P0ST['password'];
$email = $_P0ST['email'];
$tbl_name=Account_Holders;
$sql="SELECT password FROM $tbl_name WHERE email='$email'";
$result=mysql_query($sql);
// if found this e-mail address, row must be 1 row
// keep value in variable name "$count"
$count=mysql_num_rows($result);
// compare if $count =1 row
if($count==1){
$rows=mysql_fetch_array($result);
// keep password in $your_password
$your_password=$rows['password']; //will this replace the users password with the random one? That is what I am attempting to do here.
// send e-mail to ...
$to=$email;
// Your subject
$subject="Your Password";
// From
$header="from: Feed The Students";
// Your message
$messages= "Your password for login to our website \r\n";
$messages.="Your password is $your_password \r\n";
$messages.="Please change this password for security reasons. Thank you. \r\n";
// send email
$sentmail = mail($to,$subject,$messages,$header);
}
// else if $count not equal 1
else {
echo "Sorry we did not find your email in our database.";
}
// if your email succesfully sent
if($sentmail){
echo "Your password has been sent to your email address.";
}
else {
echo "We can not send your password at this time.";
}
?>
</body>
</html>
答案 0 :(得分:5)
首先,您不应该将用户的密码存储在数据库中 - 而不是以明文形式存储。我将在解决密码重置问题之前解决这个问题,因为它们已连接。
一种常见的技术是使用带盐的单向哈希算法转换密码(有关详细信息,请参阅Wikipedia Definition of Salt),然后当用户尝试登录时,执行相同的加密并比较哈希值。
为了使事情变得更复杂,请尝试在每个哈希值上更改salt。
以下是我使用的逐步方法:
一个函数创建一个随机盐,然后加密密码,在这种情况下,使用SHA256算法并使用随机创建的盐。
$password_salt = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
$password_hash = hash('sha256', $salt . $password);
将$ password_hash和$ password_salt保存到users表中。这些将在以后用于在用户尝试将来登录时进行身份验证。
当用户登录时,检查用户名/电子邮件/登录名,如果找到,请从users表中获取哈希值和salt,并将db中的密码哈希值与执行相同功能的哈希值进行比较。他们输入的密码是什么。
$salt = $user_record['password_salt'];
$entered_hash = hash('sha256', $salt . $entered_password);
在上面的例子中,如果$ entered_password_hash == $ user_record ['password_hash']($ user_record,来自您的数据库),则验证密码。
注意为了使事情变得更复杂,我实际上将密码哈希和salt存储在db中的相同字段中。您可以通过某种方式将它们连接在一起,这样如果您的数据库受到损害,密码字段对于检索用户密码实际上是无用的。
现在,当您想要解决忘记的密码时,您可以创建一个随机密码,但仍然会通过电子邮件发送给用户,这不是一个好主意,即使对于临时密码也是如此。我建议通过电子邮件向用户发送一个单击链接,将其引导至密码重置页面。以下是该过程的几个步骤:
有关更多信息(可能是对密码散列技术的更好解释,请查看This post by HeyBigName。它基于CodeIgniter,但所包含的功能普遍适用。
答案 1 :(得分:0)
我建议: 1 - 用户单击忘记传递,并写入用户名和/或电子邮件。检查数据库中是否存在用户名和/或电子邮件,如果为true,则生成随机代码并将其存储在数据库中。 2 - 向用户发送一封电子邮件,其中包含以下链接:wwww.yourwebsite.com/forgot?recovery=CODEGENERATED 3 - 用户单击该链接,检查数据库中是否存在代码,如果为true,则显示填写新密码的表单。用户填写,以及保存数据库。 4 - 完成。
问题:如果用户没有密码,为什么要求用户填写密码字段?
$password =$_P0ST['password'];
而且,为什么不使用:
$your_password = createRandomPassword();
代替:
$your_password=$rows['password'];
而且,为什么这两行:
$password = createRandomPassword();
$password =$_P0ST['password'];
第一个生成一个新密码,但你设置了在同一个变量上发布的值..
答案 2 :(得分:0)
需要注意的一些问题:
使用createRandomPassword()创建$ password变量后,用$ _POST ['password']中的值覆盖它。
您需要在$ tbl_name的分配周围加上引号,即:
$ tbl_name =“Account_Holders”;
这可能就是为什么你没有在数据库中找到用户的电子邮件。
如果您要将新密码通过电子邮件发送给用户,那么您需要更新数据库中的密码,这样当他们使用新密码登录时,它将与数据库中的内容相匹配。为此,您需要使用更新语句:
更新Account_Holders SET密码='$密码'WHERE电子邮件='$ email';
注意:将密码存储在未加密的数据库中通常不是一个好主意。通常所做的是密码首先被加密,然后以这种方式存储在数据库中。当您去验证用户的登录凭据时,使用相同的加密算法加密他们发送的密码,并与数据库中的内容进行比较。
答案 3 :(得分:0)
到目前为止,问题在于它说用户的电子邮件实际上不在数据库中。
据我所知,您的查询没有任何问题,但是将$ tbl_name值放在引号中可能没有帮助。另外,你加倍检查电子邮件输入上的名称属性肯定是电子邮件,并且它们都匹配正确吗?
另外,我应该更新数据库以存储随机密码还是我的工作方式?
我通常这样做的方式就是这样,当他们请求新密码时,生成令牌以及他们的用户ID和电子邮件。向他们发送一封带有链接的电子邮件,如下所示:
example.com/reset/?id=THERE_ID&token=RANDOM_TOKEN
然后在该页面上检查它们是否匹配,如果匹配,则让他们输入新密码。
我听说通过电子邮件将原始密码发送给用户不是一个好主意
老实说,你甚至不应该在你的数据库中存储原始密码,你想要查找hash_hmac和password salts之类的东西 - 这些类型的某些类型应该有其他链接您可以通过教程/示例来了解所有内容。
最后一点,始终验证您的用户输入(regex for example),因为您使用的是mysql_query,您始终希望使用mysql_real_escape_string转义输入 - 这是一种首选方法对于查询来说,使用prepared statements,这些非常适合阻止诸如little bobby tables之类的事故进入您的网站。