Problem z aktualizacją rekordów w bazie MYSQL za pomocą PDO

Question

Witam, Mam mały problem ze skryptem zmiany hasła, a mianowicie skrypt teoretycznie działa poprawnie wyświetla się komunikat że hasło zostało pomyślnie zmienione ale tak nie jest, hasło jest takie jak było. Gdzie tutaj może być bląd?

<?php

    session_start();
	
	if (!isset($_SESSION['logged']))
	{
		header('Location: index.php');
		exit();
	}
	
    require_once('db_connect.php');

    
    $pdo = new PDO('mysql:host='.$host.';dbname='.$db_name, $db_user, $db_password, array(PDO::MYSQL_ATTR_INIT_COMMAND => "SET NAMES 'utf8'"));
    $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);

    if(isset($_POST['send'])){
        $password = trim($_POST['password']);
        $password = sha1($password);
        $new_password = trim($_POST['new_password']);
        $new_password = sha1($new_password);
        $new_password_2 = trim($_POST['new_password_2']);
        $new_password_2 = sha1($new_password_2);
        
        $id = $_SESSION['user_id'];
        
        $errors = NULL;
        
        $check_password = $pdo->prepare("SELECT * FROM users WHERE id=:id AND password=:password");
        $check_password->bindValue(":id", $id, PDO::PARAM_STR);
        $check_password->bindValue(":password", $password, PDO::PARAM_STR);
        $check_password->execute();
        $row=$check_password->fetch(PDO::FETCH_ASSOC);
        
        $password_db = $row['password'];
        
        if($password !== $password_db) $errors .= "Nieprawidłowe aktualne hasło </br>";
        if($password == $new_password) $errors .= "Nowe hasło nie może być takie jak poprzednie </br>";
        if(strlen($new_password)<6) $errors .= "Nowe hasło musi zawierać minimum sześć znaków </br>";
        if($new_password !== $new_password_2) $errors .= "Nowe hasła muszą być takie same </br>";
        
         if(empty($errors)){
            $password_change = $pdo->prepare("UPDATE users SET password=:password WHERE id=:id");
            $password_change->bindValue(":password", $new_password, PDO::PARAM_STR);
            $password_change->bindValue(":id", $id, PDO::PARAM_INT);
            $result = $check_password->execute();
                if($result !== false)
                    {
                    echo 'Hasło zostało pomyślnie zmienione';
                    header("Refresh: 5; URL=indexx.php");
                    }
                else{
                    echo 'Wystąpił błąd';
                    header("Refresh 5; URL=indexx.php");
                    }
             
            
            }
        else{
            echo '<div style="color:red">'.$errors.'</div>';
            }
        

        
        
        
        
    }
    else header('Location: index.php');
?>

 

Answer 1

1. ID to liczba, nie ciąg znaków, więc stała do typu to PDO::PARAM_INT (linia 30).

2. Nie wiem jaki jest sens trim'ować hasło, skoro ktoś takie podał, to chyba takie chce mieć, a ty mu obcinasz. :(

3. sha1 używaj tylko i wyłącznie z saltem, czyli jakimiś wyrazami(chociażby losowymi znakami) na początku i końcu zmiennej. Opcją alternatywną jest zainteresowanie się z tym: http://php.net/manual/en/function.password-hash.php

4. Staraj się nie używać SELECT *, jest to nieoptymalne i wydłuża czas wykonywanego zapytania, zamiast tego możesz wybrać tylko interesujące Cię kolumny.

 

Comments

1. No tak,zmieniłem to tylko prawdopodomnie nie zapisałem pliku.

2. No właśnie sam się zastanawiam teraz po co ja to trim'uje, pewnie dlatego że gdy pisałem rejestrację korzystałem z jakiegoś kodu na blogu gdzie tak było.

3. Tak wiem o tym soleniu hasła, ale jeszcze tego nie stosowałem, ponieważ dopiero zaczynam z php.

4. No tak trochę bez sensu jest wyciągać wszystko skoro jest tylko jeden taki użytkownik.

Answer 2

Już sam rozwiązałem błąd a był on w lini 46 zamiast "$password_change" napisałem "$check_password". Moja mała pomyłka.