Zmiana hasła użytkownika

pytanie zadane 19 listopada 2017 w PHP przez mi-20 Stary wyjadacz (13,190 p.)

Witam, mam zrobiłem sobie taki skrypt

<?php
 include "connect.php";
    $tbl=$connect->query('SELECT `pass` FROM `uzytkownicy` WHERE id_user = "62"');
    foreach($tbl as $key => $p){
        $hash = $p['pass'];
        $hash = $hash;
        }
        $OldPass = "rasmuslerdorf";
        $NewPass = "rasmuslerdoarf";
        $NewPass1 = "rasmuslerdoarf";
        $password = password_hash($NewPass, PASSWORD_5);
        if (password_verify($OldPass, $hash)) {
            if(password_verify($NewPass, $hash)){
                echo 'Nowe hasło musi być inne od obecnie używanego';
            }else{
                if($NewPass == $NewPass1){
                    $sth=$connect->prepare('UPDATE `uzytkownicy` SET `pass`=:pass WHERE id_user = "62"');
                    $sth->bindParam(':pass', $password);
                    $sth->execute();
                    echo "Dokonano zmiany hasła";
                }else{
                    echo 'Nowe hasła które podałeś nie są identyczne';
                }
            }
        }else{
            echo 'Hasło które podałeś jako obecnie używane różni się od hasła faktycznie używanego';
        }

jednak nie wiem jak to ostatecznie ogarnąć, po dodaniu nowego hasła do bazy hash za każdym razem jest inny i stare hasło nigdy nie jest zgodne

1 odpowiedź

odpowiedź 19 listopada 2017 przez Assasz Nałogowiec (30,460 p.)

Do funkcji password_verify dajesz hasło niezahashowane, w postaci czystego stringa. Hashe nawet tego samego stringa zawsze będą się różnić.

komentarz 19 listopada 2017 przez mi-20 Stary wyjadacz (13,190 p.)

Ale do funkcji password_verify daje hasło niezahashowane , no chyba że się jednak mylę, jeśli tak, jak to powinno wyglądać?

komentarz 19 listopada 2017 przez Assasz Nałogowiec (30,460 p.)

Rzeczywiście, mój błąd :) W każdym razie nigdy nie dostaniesz dwa razy tego samego hasha, co akurat nie jest problemem dla password_verify, więc wszystko powinno działać. Jedynie podejrzanie mi wygląda ten algorytm hashowania PASSWORD_5...

komentarz 19 listopada 2017 przez mi-20 Stary wyjadacz (13,190 p.)

OK, już działa. A teraz jeszcze w jaki sposób wysłać maila do użytkownika tak aby mógł potwierdzić zmianę i co powinno zawierać się w treści maila?

komentarz 19 listopada 2017 przez Assasz Nałogowiec (30,460 p.)

Jeszcze przed zmianą hasła wysyłasz do użytkownika na jego maila link potwierdzający, po którego kliknięciu dopiero następuje zmiana. Link ten powinien wyglądać mniej więcej tak: zmianahasla?key=5df56ds7fd... Potem na tej samej stronie sprawdzasz, czy istnieje taki get jak key i sprawdzasz jego treść, jeśli pasuje do danego użytkownika (będzie trzeba ten link zapisać w bazie), to zmieniasz mu hasło.

Do samego wysyłania maili polecam SwiftMailer a.