php - Password recovery - Udvikleren.dk - Programmering, webdesign og grafik

Tags: php mysql

Bruger #17072 @ 01.10.12 15:21

Hej
Jeg er igang med et boligsite og her har jeg endnu ikke fået implementeret et password-recovery-system.
Omkring systemet havde jeg tænkt mig at der på den "normale" loginside vil være et link der hedder glemt password/kodeord og denne fører til en ny side hvor man så vil blive bedt om at skrive sit brugernavn og mailadresse. Dog vil systemet ikke bruge den indtastede mailadresse, men i stedet den der er gemt i databasen. Det vil jeg gøre for at være sikker på at en tilfældig person ikke vil kunne få fat i et brugernavn og så få tilsendt password-recovery til sin egen mailadresse.
Næste skridt er så hvor de får tilsendt en mail med et link til password-recovery, og det er nu jeg er lidt i tvivl om hvad der er bedst at gøre. Jeg kunne jo tage det krypterede password fra databasen og så sende det som en $_GET i URL'en og så via en alternativ loginside bede om brugernavn og email og så logge ind den vej ved blot at hente passwordet fra URL'en. Dog kan denne mulighed udgøre en sikkerhedsrisiko, hvis en bruger finder ud af at det rent faktisk er deres glemte password, der står i adresselinjen,i krypteret form.
Næste mulighed ville være at tilsende en mail med en $_GET igen og denne gang have en seperat tabel i databasen, hvor der oprettes en post så snart en bruger trykker på glemt password/kodeord og så oprettes der en post i en tabel og denne får jo både et id-felt og brugernavnet i krypteret form. Det krypterede brugernavn er så en del af linket. På den side, brugeren bliver præsenteret for, vil de blive bedt om at indtaste brugernavn og nyt password. Når de så trykker på Gem, vil password-recovery-posten i tabellen blive slettet og linket vil derfor blive ugyldigt. Samtidig ændres passwordet i brugertabellen, til det nye password brugeren indtastede.
Men hvad er egentlig den bedste måde at lave et password-recovery-system på?

5 svar postet i denne tråd vises herunder
1 indlæg har modtaget i alt 2 karma

Sorter efter stemmer Sorter efter dato

Bruger #16075 @ 01.10.12 16:26

1.223

til at generarer et random pw kan du kigge på http://dk.php.net/shuffle

Kode

function MakeRandPass($upper = 3, $lower = 3, $numeric = 3, $other = 2) {
    //we need these vars to create a password string
    $passOrder = Array();
    $passWord = '';
    //generate the contents of the password
    for ($i = 0; $i < $upper; $i++) {
        $passOrder[] = chr(rand(65, 90));
    }
    for ($i = 0; $i < $lower; $i++) {
        $passOrder[] = chr(rand(97, 122));
    }
    for ($i = 0; $i < $numeric; $i++) {
        $passOrder[] = chr(rand(48, 57));
    }
    for ($i = 0; $i < $other; $i++) {
        $passOrder[] = chr(rand(33, 47));
    }
    //randomize the order of characters
    shuffle($passOrder);
    //concatenate into a string
    foreach ($passOrder as $char) {
        $passWord .= $char;
    }
    //we're done
    return $passWord;
}

$pw = MakeRandPass();

en anden random pw function

Kode

function MakeRandomPassword($numbers=8) {
  $alfabet = "abchefghjkmnpqrstuvwxyz0123456789";
  $lng = strlen($alfabet); 
  $pass=""; 
  // srand((double)microtime()*1000000);
   $i = 0;
   while ($i <= $numbers) {      
      $num = rand(0, $lng); 
      $tmp = substr($alfabet, $num, 1);
      $pass = $pass . $tmp;
      $i++;
   }
   return $pass;
}

$pw=MakeRandomPassword();

dette sender du til brugeren i en mail, krypterer det, og updaterer db med nyt pw.
brugeren logger så ind med det nye pw, og laver det om til noget nyt

til at ændre pw har du vel en function der ser noglelunde sådan ud

Kode

function ChangePassword($conn, $pw, $UserId){				
	$sql = "UPDATE TblUser SET password = '$pw' WHERE ID = $UserId";
	$rs = mysql_query($sql,$conn);
}

Indlæg senest redigeret d. 01.10.2012 16:49 af Bruger #16075

Bruger #16319 @ 01.10.12 15:28

232

Hvis du vil undgå at skulle genere links til opsætning af nyt password, kan du også bare generere et unikt nyt password selv og sende det til brugerens mail.
Derefter kan brugeren så logge ind og ændre det selv.

Bruger #11328 @ 01.10.12 15:31

1.323

Du kan vel bare bede brugeren om den mail han allerede har givet dig. Så kan han kun modtage sit password den vej - Det er den mest alment benyttede metode.

Du kan enten genere et nyt unikt password, som Rasmus Knudsen foreslår, eller sende et link der inkluderer et unikt "token" der viser brugeren en side hvor han kan indtaste et nyt password direkte - også en alment anerkendt metode.

Bruger #17072 @ 01.10.12 16:17

152

Det med at genere et nyt password ville være en god idé, men hvordan kan jeg få php til at gøre det?
Når php har lavet et auto-generated password, så gemmes dette i databasen og sendes til brugeren, sammen med et link til loginsiden. Jeg vil godt bruge en anden side til login ved password-recovery, da jeg så kan sende brugerne direkte til ændring af password, i stedet for at sende dem til deres personlige side.

Bruger #17072 @ 02.10.12 15:14

152

Ok.
Så bliver det nok med generating random password, kryptere dette og gemme i databasen.
Har tjekket at funktionen virker og udskrevet $pw=MakeRandomPassword();, og jeg får hver gang et nyt password.
Takker mange gange for hjælpen.

EDIT: Ahh, var lige lidt hurtig. Havde godt nok fået testet om jeg kunne sende det ud, men ikke når jeg opsætter regler for hvornår den skal gøre hvad:

PHP kode

 <?php
 include '../includes/connect.php';
 session_start();
 function MakeRandPass($upper = 3, $lower = 3, $numeric = 3, $other = 2) {
     //we need these vars to create a password string
     $passOrder = Array();
     $passWord = '';
     //generate the contents of the password
     for ($i = 0; $i < $upper; $i++) {
         $passOrder[] = chr(rand(65, 90));
     }
     for ($i = 0; $i < $lower; $i++) {
         $passOrder[] = chr(rand(97, 122));
     }
     for ($i = 0; $i < $numeric; $i++) {
         $passOrder[] = chr(rand(48, 57));
     }
     for ($i = 0; $i < $other; $i++) {
         $passOrder[] = chr(rand(33, 47));
     }
     //randomize the order of characters
     shuffle($passOrder);
     //concatenate into a string
     foreach ($passOrder as $char) {
         $passWord .= $char;
     }
     //we're done
     return $passWord;
 }
 //Ændring af password i database
 $pwd_bruger = mysql_real_escape_string($_POST['username']);
 $pwd_epost = mysql_real_escape_string($_POST['epost']);
 $pwd_check = mysql_query("SELECT `username`, `epost` FROM users WHERE username='$pwd_bruger'");
 if(mysql_num_rows($pwd_check) > 0) {
     $pwd_get = MakeRandPass();
     $pwd_insert = mysql_query("UPDATE users SET password = '$pwd_get' WHERE username = '$pwd_bruger'");
     if($pwd_insert {
 function escapeAddr($addr) {
     $check = preg_match('/(.*)<(.*)>/', $addr, $a);
     if ($check) $addr = '=?UTF-8?B?'.base64_encode($a[1]).'?= <'.$a[2].'>';
     return $addr;
 }
 //Send e-mail funktion
 function mail_utf8($to, $subject='', $message='', $from='', $cc='', $bcc='') {
     $from = escapeAddr($from);
     $header = 'From: '.$from.PHP_EOL
             . 'Return-Path: '.$from.PHP_EOL
             . 'Reply-To: '.$from.PHP_EOL
             . 'MIME-Version: 1.0'.PHP_EOL
             . 'Content-type: text/html; charset=UTF-8'.PHP_EOL
             . 'X-Mailer: PHP/'.phpversion().PHP_EOL
             . 'Content-Transfer-Encoding: 8bit'.PHP_EOL;
     if ($cc!='') $header .= 'Cc: '.escapeAddr($cc).PHP_EOL;
     if ($bcc!='') $header .= 'Bcc: '.escapeAddr($bcc).PHP_EOL;
     $header .= PHP_EOL;
     return mail($to, '=?UTF-8?B?'.base64_encode($subject).'?=', $message, $header);
 }
 $besked = '<p>Hermed fremsendes dit nyt kodeord til ejeleje.dk.</p><p>Når du er logget ind på normal vis, skal du straks sørge for at ændre kodeordet til noget der er lettere at huske.</p><p>Dit nye kodeord er:'.$pwd_get.'</p>';
 //E-mail sendes. $success sendes til ejer og $send sendes til opretter
 $success = mail_utf8('khansen.it@gmail.com', 'Her fremsendes nyt password til ejeleje.dk', $besked, 'autosvar@ejeleje.dk', '', '');
 if ($success) {
       // Mail sendt
       $_SESSION['done'] = '<p>Tak for din henvendelse. Vi har gemt din bolig i systemet og den kan nu ses på vores side. Vi kontakter dig hurtigst muligt, når der kommer et henvendelse</p>';
       header ('Location: ../index.php');
   } else {
       // Der er en fejl!
       header ('Location: ../index.php');
   }
 }
 else {
     echo 'Der er sket en fejl';
 }
 }
 else {
     echo '<p>Din bruger blev ikke fundet i systemet.</p><a href="../index.php">Gå tilbage til forsiden</a><br /><a href="recover-pwd.php">Prøv igen</a>';
 }
 ?>

Jeg får syntax-error, i min editor, på følgende linjer: 72, 74 og 77

Indlæg senest redigeret d. 02.10.2012 15:56 af Bruger #17072

Password recovery

Karma barometer (30 dage)

Modtaget

Givet

Favorit hos
Forum tråde
Artikler