Zabezpiecznie przed zmianą hasła innego użytkownika.

Question

Witam,

Zrobiłem zmianę hasła na swojej stronie, wszystko fajnie działa, lecz mogę zmieniać każdemu hasło tylko wtedy, kiedy wpisze jego nick w polu. Jak zrobić jakieś zabezpieczenie, aby tylko możesz zmienić hasło na swoim koncie, a nie zmieniać komuś hasło znając jego nick.

 

Z góry dzięki za odpowiedź. ;)

Answer 1

Generować unikalne tokeny dla każdej prośby o zmianę hasla i wysyłać na maila, z którego dane konto zarejestrowano.

Answer 2

Tak najprościej to może po prostu zrób tak jak to robią inni, czyli pozwalaj zmienić hasło do swojego konta tylko gdy jest się na nie zalogowanym i po podaniu aktualnego?

Comments

Hm... Nakierujesz mnie jak to zrobić?

---

Nie wiem co już masz i jak masz to zrobione. W skrócie tak jak napisałem w odpowiedzi.

Sprawdzasz czy użytkownik jest zalogowany - jeśli jest to może przejść na podstronę ze zmianą hasła i wykonywać jakieś operacje. Formularz może zawierać np. pola: dotychczasowe hasło, nowe hasło, potwórz nowe hasło. Po wysłaniu sprawdzasz czy aktualne hasło jest zgodne z tym które masz zapisane w bazie (mam nadzieję, że używasz password_hash i password_verify). Później tylko ewentualnie walidujesz nowe hasło, hashujesz, zapisujesz do bazy i tyle.

---

No dobra, lecz chcę aby ten ktoś kto zmienia hasło wpisał swój nick, jak wpisze swój to mu zmieni hasło, ale jak wpisze kogoś nick i jakieś hasło to też zmieni, nie mam pojęcia jak to zabezpieczyć, aby się tak nie dało.

---

To nie masz tam żadnego logowania? Jeśli masz to automatycznie zmieniasz hasło osoby zalogowanej, nie uda się wtedy zmienić hasła innej osobie. Jeśli nie to pozostaje sposób Comandeera, czyli poprzez maila, no ale zakładam że skoro jest jakieś hasło to i zalogować się można.

---

Logowanie mam, wszystko robiłem zgodnie z odcinkami (Pasja Informatyki - PHP). No jak wpisuje kogoś nick to jednak mogę zmienić mu hasło. Nie mam pojęcia jak to zrobić żeby się nie dało...

---

A po co ci pole do wpisania nicku? dlaczego użytkownik ma miec możliwość zmiany hasła dowolnemu użytkownikowi? gdzie tu logika?

---

Tak, lecz gdy usunę nick z pola to zmienia hasło każdemu.

---

To zmodyfikuj zapytanie do bazy aby robiło po id.

UPDATE `users`
SET UserPassword = '$newPassword'
WHERE UserId = '$userId';

Coś w ten deseń.

Nadal uważam, że rozwiązanie Comandeer'a byłoby najlepszym rozwiązaniem.

---

Dobra poradziłem sobie, dzięki. :)

Answer 3

 

aby tylko możesz zmienić hasło na swoim koncie, a nie zmieniać komuś hasło znając jego nick.

To machnij walidację czy nick który użytkownik próbuje zmienić jest równy jego / Gdzie ID user'a jest równy tego, który je zmienia.

(Choć, sposób Comandeera wydaje się być najlepszym z obecnie tutaj podanych).

Answer 4

Inny sposób to wymagaj podania oprócz nowego i potwierdzenia jego jeszcze stare hasło i porównuj....