PHP遗忘密码方法

Question

  

可能重复：
  What is the best “forgot my password” method?

在阅读了不同的忘记密码请求技术后，我决定通过电子邮件向用户发送链接，以便他们可以更改密码。我的问题是，最好的方法是什么？这是我目前的方法：

1. 询问用户的电子邮件
2. 向他们发送指向newpassword.php页面的链接，其中包含随机生成的长字母数字代码作为参数。
3. 散列该代码并将其存储在带有电子邮件地址和时间戳的mysql表中
4. 当用户转到该链接时，会再次要求他们发送电子邮件。
5. 在表格中搜索该电子邮件。如果时间戳超过24小时，则会被删除，用户必须请求另一个链接。
6. 检查代码是否匹配。如果是，请让用户重置密码。
7. 更改users表中的密码并发送另一封电子邮件以确认其已更改。

我是网站安全新手，但我没有找到许多算法让用户重置忘记密码的例子（除了简单地创建一个新密码并将其发送给他们，这对我来说似乎相当弱） 。我的方法有任何安全漏洞吗？任何人都知道我可以研究的任何好的指南？提前谢谢！

Answer 1

我会把你推荐给一个非常相似的帖子。我的答案在那里被接受了，我真的不想改写整个事情......

Looking for a some good options to send users reset password emails