PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact

Wachtwoord vergeten

Door Dirk Renes op 29-11-2011 14:34 gewijzigd op 01-12-2011 09:04
4.899 views
Ik wil bij mijn login script ook de mogelijkheid hebben dat mensen hun wachtwoord kunnen opvragen als zij die vergeten zijn. Ik heb heb mijn wachtwoorden beveiligd met de functie salt, alleen hoe kan ik nu het beste van de persoon die zijn wachtwoord kwijt is hem via een email zijn gegevens sturen inclusief het decrypten van zijn wachtwoord.

Het moet zoals hieronder vermeld:
Ik heb er toch voor gekozen om het via een link te doen, dus gebruikers voegen hun gebruikersnaam en email in en vervolgens krijgen ze een link die 24 uur actief is, vervolgens drukken ze op die link en krijgen ze een nieuw wachtwoord toegestuurd. hoe ga ik dit realiseren.
Dirk Renes
01-12-2011 09:51
- Aar - op 01/12/2011 09:39:26

Je maakt eerst een formuliertje waar men zijn username en mailadres in moet vullen. Als deze gecontroleerd zijn, genereer je een hash, welke je in de database opslaat. Ook stuur je deze hash mee in een linkje die je naar de gebruiker mailt.

Als de hash-overeenkomt, dan laat je de gebruikers een nieuw password instellen, en als dat gebeurt is, dan verwijder je weer die hash uit je database (waarmee het linkje niet meer zal werken).

Et voila....


Klikt simpel heb je een voorbeeldje van een scriptje dat ik me kan inbeelden met die link
- Ariën -
01-12-2011 10:01 gewijzigd op 01-12-2011 10:05
wijzig_wachtwoord.php [sub](aanroep met bijv. wijzig_wachtwoord?hash=7s67sd8af6sd8f6sd6s)[/sub]

<?php
if(isset($_GET['hash'])) {
	// hier verder met een controle of de hash klopt.
	// in dat geval: toon het wachtwoord wijzig scherm.
} else {
	echo "Er is geen hash meegegeven in de URL";
}
?>


Natuurlijk kan je ook voor alles één wachtwoord-pagina aanmaken i.p.v. het script over meerdere bestanden te verdelen, zoiets als:
wachtwoord_wijzigen.php?actie=aanvragen
wachtwoord_wijzigen.php?actie=aanpassen

Het is net wat je wilt...
Dirk Renes
06-12-2011 13:53 gewijzigd op 06-12-2011 13:55
Ik wil email en gebruikersnaam controleren of ze bij elkaar horen hoe ga ik dat doen?
op dit moment heb ik dit.


 <?php 

ini_set('display_errors', 'On'); 
error_reporting(E_ALL); 

include('inc/database.php');
function createRandomPassword() { 

    $chars = "abcdefghijkmnopqrstuvwxyz023456789?_%@"; 
    srand((double)microtime()*1000000); 
    $i = 0; 
    $pass = '' ; 

    while ($i <= 7) { 
        $num = rand() % 33; 
        $tmp = substr($chars, $num, 1); 
        $pass = $pass . $tmp; 
        $i++; 
    } 

    return $pass; 

} 
$password = createrandompassword(); 



			
  if($_SERVER['REQUEST_METHOD'] == "POST") { 
  


  	$gebr =  $_POST['gebruikersnaam'];
	$email = $_POST['email'];
	$nWachtwoord = (addslashes(sha1($password)));
	
	
		
  if(empty($gebr) || empty($email))
		{
			echo 'U bent iets vergeten in te vullen';
			
		} else {
			
				$query1="UPDATE gebruikers SET wachtwoord='$nWachtwoord' WHERE gebruikersnaam='$gebr'";
				mysql_query($query1);
				mysql_close();
				
				$email_ontvanger = $email; 
								
				$naam_verzender = 'Support '; 
				$email_verzender = '[email protected]'; 
			
				$onderwerp = ''; 
				$bericht_verzender = 'Wachtwoord:&nbsp;'.$password; 
			
			
				$headers = "From: ".$naam_verzender." <".$email_verzender.">\r\n"; 
				$headers .= "MIME-Version: 1.0\r\n"; 
				$headers .= "Content-type: text/html; charset=iso-8859-1\r\n"; 
				$headers .= "Return-Path: Mail-Error <[email protected]\r\n"; 
				$headers .= "Reply-To: ".$naam_verzender." <".$email_verzender.">\r\n";
			
					
					$bericht = 'Uw wachtwoord is gereset.<br>';
					
					
					$bericht .= "<br>".$bericht_verzender."<br>";
					$bericht .='
					<br>
					<br>
					<a href="link">Log in</a> 
					<br>
					<br>
					Met vriendelijke groet,<br>
					 Support
					'; 
			
					$bericht = ($bericht); 
					mail($email_ontvanger, $onderwerp, $bericht, $headers); 
					echo "er is een E-mail met een nieuw wachtwoord naar u toegestuurd. ";
					header('refresh:2; url=./login.php');	

	}
}
				
				
	
  
  ?>
O
Obelix Idefix
06-12-2011 14:09
Waarom onnodig variabelen aanmaken (zowel bij $_POST als op regel 49-55?
empty (b)lijkt geen juiste manier om te kijken of een variabele is gevuld.
Waar om is je controle of gebruiker en mailadres overeenkomen?
Mis beveiliging bij je update-query.
Mis foutafhandeling bij je query
Na header wordt volgens mij exit; geadviseerd.
Gebruik je ook nog een salt?
Dirk Renes
06-12-2011 14:12
Obelix en Idefix op 06/12/2011 14:09:30


Waar om is je controle of gebruiker en mailadres overeenkomen?



Hier wil ik graag antwoord op hoe ik dit het beste kan implementeren in mijns script en hoe.
O
Obelix Idefix
06-12-2011 14:46
Maak een select query waarin je de voorwaarden meegeeft.
Er zijn twee mogelijkheden: of bestaat of bestaat niet.
Als bestaat volgt er 1 rij, anders bestaat de combinatie niet.
Als niet bestaat --> melding 'uw gegevens zijn onbekend'.
Als bestaat --> link sturen.
Dirk Renes
16-12-2011 14:31 gewijzigd op 16-12-2011 15:10
ik heb nu zoiets gemaakt alleen ik krijg een melding dat mijn gegevens niet overeenkomen als ze wel correct zijn. wie kan mij helpen


<?php
ini_set('display_errors', 'On'); 
error_reporting(E_ALL); 

include('inc/database.php');
function createRandomPassword() { 

    $chars = "abcdefghijkmnopqrstuvwxyz023456789?_%@"; 
    srand((double)microtime()*1000000); 
    $i = 0; 
    $pass = '' ; 

    while ($i <= 7) { 
        $num = rand() % 33; 
        $tmp = substr($chars, $num, 1); 
        $pass = $pass . $tmp; 
        $i++; 
    } 

    return $pass; 

} 
$password = createrandompassword(); 

			
  if($_SERVER['REQUEST_METHOD'] == "POST") { 
  


  	$gebr =  $_POST['gebruikersnaam'];
	$email = $_POST['email'];
	$nWachtwoord = (addslashes(sha1($password)));
	
	
	
	  if(empty($gebr) || empty($email))
		{
			echo 'U bent iets vergeten in te vullen';
		
		}	
	
			$check = "SELECT * FROM gebruikers WHERE gebruikersnaam='$gebr' AND emailadres='$email'";
			 $docheck = mysql_query($check) or die('FOUT: '.mysql_error());
	 
				 if (mysql_num_rows($docheck) == 0) {
				
		
						$query1="UPDATE gebruikers SET wachtwoord='$nWachtwoord' WHERE gebruikersnaam='$gebr'";
						mysql_query($query1);
						mysql_close();
						
						$email_ontvanger = $email; 
										
						$naam_verzender = ''; 
						$email_verzender = ''; 
					
						$onderwerp = ''; 
						$bericht_verzender = 'Wachtwoord:&nbsp;'.$password; 
					
					
						$headers = "From: ".$naam_verzender." <".$email_verzender.">\r\n"; 
						$headers .= "MIME-Version: 1.0\r\n"; 
						$headers .= "Content-type: text/html; charset=iso-8859-1\r\n"; 
						$headers .= "Return-Path: Mail-Error <[email protected]>\r\n"; 
						$headers .= "Reply-To: ".$naam_verzender." <".$email_verzender.">\r\n";
					
							
							$bericht = 'Uw wachtwoord is gereset.<br>';
							
							
							$bericht .= "<br>".$bericht_verzender."<br>";
							$bericht .='
							<br>
							<br>

							<br>
							<br>
							Met vriendelijke groet,<br>
							
							'; 
					
							$bericht = ($bericht); 
							mail($email_ontvanger, $onderwerp, $bericht, $headers); 
							echo "er is een E-mail met een nieuw wachtwoord naar u toegestuurd. ";
							header('refresh:2; url=./login.php');	
							exit;
				 
				 
				 
			 
		}
			else {
				echo 'U gegevens komen niet overeen met de gegevens in de database';
				
			}
		
  }
				
?>
E
Erwin H
16-12-2011 14:50 

<?php
 if(empty($gebr) || empty($email))
        {
            echo 'U bent iets vergeten in te vullen';
        
?>

Hier check je of de gegevens zijn ingevuld (waarbij je de POST variabele niet controleert of die bestaan dus je script zou al eerder over zijn nek kunnen zijn gegaan). Maar omdat er geen } achter staat, staat het hele volgende blok binnen het if statement. Dus je hele check op bestaande gegevens wordt alleen uitgevoerd als er gegevens ontbreken..... volgens mij klopt dat niet helemaal.
Dirk Renes
16-12-2011 15:03
Erwin H op 16/12/2011 14:50:14


<?php
 if(empty($gebr) || empty($email))
        {
            echo 'U bent iets vergeten in te vullen';
        
?>

Hier check je of de gegevens zijn ingevuld (waarbij je de POST variabele niet controleert of die bestaan dus je script zou al eerder over zijn nek kunnen zijn gegaan). Maar omdat er geen } achter staat, staat het hele volgende blok binnen het if statement. Dus je hele check op bestaande gegevens wordt alleen uitgevoerd als er gegevens ontbreken..... volgens mij klopt dat niet helemaal.


Dit probleem is nu opgelost, die if staat nu los. nu krijg ik dus als ik niks invul dat de gegevens niet overeenkomen of leeg zijn.
E
Erwin H
16-12-2011 15:07
Hoe is die if structuur nu opgebouwd dan?

Reageren

Inloggen om te reageren