|
Autor
|
Thread
|
|
24.05.2007 11:52 Uhr
|
"Passwort vergessen" Funktion
|
|
mdean
|
|
Forenposter
|
|
|
|
registriert
|
03.01.2007
|
|
wohnt in
|
Schweiz
|
|
Beiträge
|
90
|
|
Hallo!
Hab mir ja eine Passwort vergessen Funktion mithilfe deines Tutorials in meine Site eingebaut. Nun fällt mir auf, dass diese nicht wirklich sicher ist. Denn irgend ein User könnte zum Spass einen anderen Nicknamen eingeben, und der müsste dann sein Passwort immer wieder ändern. Hast du eine Idee wie man es z.b. so machen könnte: Der User muss seinen Nick angeben, wenn dieser in der DB vorhanden ist wird eine Email an die Addresse vom Nick gesandt. Wenn dieser Dann wirklich sein PW ändern will muss er in der Email auf einen Link klicken und erst dann wird das PW geändert.
Den Anfang wüsste ich ja schon wie das geht, aber hab keine Ahnung wie ich das mit dem Link in der Mail realisieren könnte.
Danke im voraus!
Greez mdean
|
|
|
|
24.05.2007 16:02 Uhr
|
|
|
Negura
|
|
Forenposter
|
|
|
|
registriert
|
06.12.2006
|
|
wohnt in
|
|
|
Beiträge
|
57
|
|
Hallo,
einfach eine Zufallszahl generieren und in der Tabelle 'User' eine Spalte dafür hinzufügen, die standard mäßig auf NULL steht, sollte das Password vergessen werden und der Benutzer will ein neues einrichten, gibt er ja sein Benutzername im Formular an, danach wird eine Zufallszahl generiert und zum passendem Benutzer in der Datenbank abgelegt, was zuvor NULL war.
Diese Zufallszahl sendest du dann mit in die Mail, welche auf das Script verweist, welches dann das Passwort ändert und ebenfalls dem Benutzer zu mailt.
Beispiel:
1. Passwort vergessen und Nick ins Formular eintragen:
2. Zufallszahl generieren und in der Datenbank zum passendem Nick abspeichern
3. E-Mail an den Betroffenen schicken mit Link und Zufallszahl change_password.php?code=$Zufallszahl
4. Klickt der Betroffene auf diesen Link, kann er sein Password ändern
|
|
|
|
|
24.05.2007 16:19 Uhr
|
|
|
Flitze
|
|
Administrator
|
|
|
registriert
|
17.10.2006
|
|
wohnt in
|
Eschwege
|
|
Beiträge
|
332
|
|
[edit]
Ich werde alt 
17 min für nen Post.. blödes Codeformatieren da 
[/edit]
Grundsätzlich hast du ja schon alle relevanten Schritte genannt. Zum Ablauf würde ich Folgendes sagen:
User gibt seinen Nickname in ein Formular ein.
Datenbank wird nach diesem Nick durchsucht.
Wird der Name gefunden, wird eine Zufallszahl generiert und im Datensatz des Users in einer dafür vorgesehenen Spalte gespeichert (z.B. PW_ID oder so).
Dann wird eine Email an die Email-Adresse des User gesendet, in der der Link
http://www.example.com/newpw.php?id=DieGeradeGenerierteZufallszahl
steht.
Nun musst du noch die Datei newpw.php anlegen, in der Folgendes steht:
PHP:
<?php
error_reporting(E_ALL);
if(isset($_GET['id'])){
$sql = "SELECT
ID
FROM
User
WHERE
PW_ID = '".db_security($_GET['id'])."'
";
$result = doQuery($sql);
if (mysql_num_rows($result)==1){
$row = mysql_fetch_assoc($result);
$new_pw = rand(100000,999999);
$sql = "UPDATE
User
SET
PW_ID = NULL,
Passwort = '".md5($new_pw)."'
WHERE
ID = '".db_security($row['ID'])."'
";
doQuery($sql);
echo "<h1>Ein neues Passwort wurde generiert</h1>\n";
echo "<p>\n".
"Ihr Account wurde erfolgreich neu generiert.<br /><br />\n".
"Sie können sich nun mit Ihren neuen Passwort ".$new_pw." einloggen.\n".
"</p>\n";
}
else{
echo "<h1>Passwortgenerierung fehlgeschlagen</h1>\n";
echo "<p>\n".
"Sie haben eine ungültige Password ID angegeben.<br /><br />\n".
"Bitte benutzen Sie den Link aus Ihrer Passwort-Email.\n".
"</p>\n";
}
}
else{
echo "<h1>Passwortgenerierung fehlgeschlagen</h1>\n";
echo "<p>\n".
"Sie haben keine Password ID angegeben.<br /><br />\n".
"Bitte benutzen Sie den Link aus Ihrer Passwort-Email.\n".
"</p>\n";
}
?>
Anstatt das PW direkt anzuzeigen kannste natürlich auch nochmal ne Mail schreiben 
Gruß
Dieser Beitrag wurde am 24.05.2007 um 16:20:49 Uhr von Flitze zum 1. Mal editiert.
|
|
|
|
24.05.2007 16:33 Uhr
|
RE:
|
|
Negura
|
|
Forenposter
|
|
|
|
registriert
|
06.12.2006
|
|
wohnt in
|
|
|
Beiträge
|
57
|
|
Zitat:Flitze
[edit]
Ich werde alt
17 min für nen Post.. blödes Codeformatieren da
[/edit]
Besser zulangsam als zuschnell. 
Ach ja, eventuell bei jedem Script prüfen ob der Benutzer die Passwortänderung nach 24h stunden auch vollzogen hat, sonst wieder auf NULL zurückstellen.
Sicher ist sicher!
Gruß Negura
|
|
|
|
|
24.05.2007 17:36 Uhr
|
|
|
mdean
|
|
Forenposter
|
|
|
|
registriert
|
03.01.2007
|
|
wohnt in
|
Schweiz
|
|
Beiträge
|
90
|
|
Vielen Dank für eure Hilfe! Werd wohl noch ne Zeit brauchen bis ich das gecoded hab, meld mich dann wieder
|
|
|
|
