PHPhulp.nl PHPhulp.nl
35k+ leden Over PHPhulp Offerte opdracht Contact
-

password_hash()?

Door - Rob - op 04-01-2017 16:34 gewijzigd op 04-01-2017 16:36
2.279 views
Hallo,

Ik ben bezig met password_hash() maar het werkt niet... Hij geeft geen errors, maar toch blijft hij zeggen: De wachtwoorden komen niet overeen. hieronder mijn code:


<div class="active tab-pane" id="instellingen">
	<?php if (!empty($_SESSION['updateerror'])) {?><p><?php echo $_SESSION['updateerror']; unset($_SESSION['updateerror']); ?></p><?php }?>
	<?php if (!empty($_SESSION['updatesucces'])) {?><p><?php echo $_SESSION['updatesucces']; unset($_SESSION['updatesucces']); ?></p><?php }?>
	<form action="/paneel/pages/updatesettings.php" method="POST" class="form-horizontal">
		<div class="form-group">
			<label for="inputName" class="col-sm-2 control-label">Gebruikersnaam</label>

			<div class="col-sm-10">
				<input type="text" disabled class="form-control" id="inputName" placeholder="<?=$gebruikersnaam?>">
			</div>
		</div>
		<div class="form-group">
			<label for="inputEmail" class="col-sm-2 control-label">Emailadres</label>

			<div class="col-sm-10">
				<input type="email" name="email"  class="form-control" id="inputEmail" value="<?=$getuseremail?>">
			</div>
		</div>
		<div class="form-group">
			<label for="inputName" class="col-sm-2 control-label">Wachtwoord</label>

			<div class="col-sm-10">
				<input type="password" class="form-control" name="password" id="inputPass" placeholder="Uw huidige wachtwoord">
			</div>
		</div>
		<div class="form-group">
			<label for="inputExperience" class="col-sm-2 control-label">Beschrijving</label>

			<div class="col-sm-10">
				<textarea class="form-control" maxlength="100" name="beschrijving" id="inputBeschrijving" placeholder="Uw persoonlijke beschrijving."></textarea>
			</div>
		</div>
		<div class="form-group">
			<div class="col-sm-offset-2 col-sm-10">
				<button type="submit" name="update" class="btn btn-primary">Update mijn gegevens</button>
			</div>
		</div>
	</form>
</div>

//APART BESTAND
<?php
	if (isset($_POST['update'])) {
		$username = $_SESSION['username'];
		$email = $mysqli->real_escape_string($_POST['email']);
		$password = $_POST['password'];
		$beschrijving = $_POST['beschrijving'];

		$prefix = $mysqli->real_escape_string($_CONFIG['prefix']);
		$table = $prefix.'users';
		$result = $mysqli->query("SELECT * FROM `$table` WHERE `username`='$username'");
		if(FALSE === $result) {
			exit();
		} else {
			$rows = $result->num_rows;
			if (password_verify($password, $row['password'])) {
				$result = $mysqli->query("UPDATE FROM `$table` SET `email`='$email' AND `beschrijving`='$beschrijving' WHERE `username`='$username'");
				$_SESSION['updatesucces'] = "Uw gegevens zijn aangepast.";
				header('Location: /paneel/profiel/'.$_SESSION['username'].'');
				exit();
			} else {
				$_SESSION['updateerror'] = "De wachtwoorden komen niet overeen.";
				header('Location: /paneel/profiel/'.$_SESSION['username'].'');
				exit();
			}
		}
	} else {
		$_SESSION['updateerror'] = "De wachtwoorden komen niet overeen.";
		header('Location: /paneel/profiel/'.$_SESSION['username'].'');
		exit();
?>


[size=xsmall]Toevoeging op 04/01/2017 16:38:52:[/size]

Stom foutje sorry! Ik moest $row = $result->fetch_assoc(); hebben en niet $rows = $result->num_rows;

[size=xsmall]Toevoeging op 04/01/2017 16:51:43:[/size]

Nu wel een ander probleem, ik heb dus dat form, maar ze mogen niet < en > gebruiken. Hoe kan ik dit disabelen met PHP?
Thomas van den Heuvel
04-01-2017 16:55 gewijzigd op 04-01-2017 16:56
Ik zou de DATA-delen pas escapen als/voordat je ze gebruikt in een query.

Dit voorkomt ook dat je het escapen soms vergeet, zoals bij $username...

Mogelijk kun je je hele ledenbestand om zeep helpen met gebruikersnamen als:
hoi' OR 1=1


EDIT
Nu wel een ander probleem, ik heb dus dat form, maar ze mogen niet < en > gebruiken. Hoe kan ik dit disabelen met PHP?

Dit is weer een escaping-kwestie. real_escape_string() gebruik je in de MySQL context, functies als htmlspecialchars() gebruik je in de HTML context.
-
- Rob -
04-01-2017 17:15
Thomas van den Heuvel op 04/01/2017 16:55:02


Mogelijk kun je je hele ledenbestand om zeep helpen met gebruikersnamen als:
hoi' OR 1=1



Nope, bij registratie heb ik dit al uitegeschakeld, bij login en wachtwoord vergeten. EN hij pakt session username dus het heeft geen zin voor de input te editen.

Thomas van den Heuvel
04-01-2017 17:20
Escaping zul je overal consequent moeten toepassen. User data is niet ineens "veilig" als deze in je database zit en zul je dus altijd voorzichtig moeten behandelen.

Stel dat je namen met <> toestaat dan weet ik wel een leuke: "Henk</div>" (of iets soortgelijks uiteraard...). Wanneer je deze vervolgens niet escaped als je deze weergeeft dan ligt je layout waarschijnlijk in puin.
-
- Rob -
04-01-2017 17:24 gewijzigd op 04-01-2017 17:26
T lukt niet voor ze te disabelen met mysqli_real_escape_string() dan blijft er < en > staan

[size=xsmall]Toevoeging op 04/01/2017 17:32:10:[/size]

en dit werkt ook niet:
$beschrijvijg = htmlspecialchars($beschrijving, ENT_QUOTES, ENT_COMPAT, ENT_NOQUOTES, ENT_IGNORE, ENT_SUBSTITUTE, ENT_DISALLOWED);
Ariën
04-01-2017 17:34
$beschrijvijg? Lijkt mij een typfout? Hoe pas je deze htmlspecialchars() functie toe?
-
- Rob -
04-01-2017 17:35

Dit voorkomt ook dat je het escapen soms vergeet, zoals bij $username...

Dit is de session naam die uit de database wordt gegaalt, deze gebruikersnaam krijg je als je een account aanmaakt waar een escaping op staat. Dus dan lijkt mij het niet nodig voor dit te gaan escapen want je kan het niet aanpassen?

[size=xsmall]Toevoeging op 04/01/2017 17:37:00:[/size]

- Ariën - op 04/01/2017 17:34:28

$beschrijvijg? Lijkt mij een typfout? Hoe pas je deze htmlspecialchars() functie toe?

Helemaal over het hoofd gezien :S dat was t inderdaad.
Ariën
04-01-2017 17:38
Ook voor $_SESSIONS hoef je niet zeker te zijn dat ze veilig zijn. Het is vergezocht, maar ze kunnen ook aangepast worden. Deze zou ik ook voor de zekerheid dus ook escapen.
-
- Rob -
04-01-2017 17:40 gewijzigd op 04-01-2017 17:41
Okay, bedankt! Ik heb het even overal aangepast. Gelukkig was mijn project nog niet af en kwam er pas later achter als heel mijn layout is ver*** ;P
Thomas van den Heuvel
04-01-2017 19:23
Als je iets weergeeft dien je content te escapen zodat deze content mogelijk speciale betekenis (zoals HTML tags) verliest (als dit je bedoeling is). Het is niet de bedoeling dat je dingen op voorhand escaped (escape on input). Het is zaak dat je consequent output escaped. Als je dit namelijk niet overal op dezelfde plek + wijze doet kan er verwarring ontstaan of dit al is gebeurd of mogelijk worden er dingen dubbel ge-escaped.

Reageren

Inloggen om te reageren