Błąd w kodzie na zmianę hasła

pytanie zadane 10 lipca 2019 w PHP przez Patryk Kacprowicz Nowicjusz (230 p.)

Witajcie,

Zmagam się z problemem w kodzie na zmianę hasła, czy mógłby ktoś pomóc? Kod jest zmodyfikowanym kodem na logowanie, który pewnie wszyscy znacie (kod Pana Mirosława Zelenta).

#EDIT

Dodam tylko że hasło jest hashowane wcześniej

if($wszystko_OK == true) {
                if ($rezultat = @$polaczenie->query(
                    sprintf("SELECT * FROM `users` WHERE id='%s'",
                        mysqli_real_escape_string($polaczenie, $_SESSION['id'])))) {
                    $ilu_userow = $rezultat->num_rows;
                    if ($ilu_userow > 0) {
                        $wiersz = $rezultat->fetch_assoc();
                        if (password_verify($old_pass, $wiersz['pass'])) {
                            $rezultat->free_result();
                            $connect = mysqli_connect($host, $db_user, $db_password);
                            $id = $_SESSION['id'];
                            $zmiana = mysqli_query($connect, "UPDATE `users` SET `pass` = '$new_pass' WHERE id = '$id'");
                            $connect->close();
                            header ("Location: wyloguj.php");
                    } else {
                            $_SESSION['blad'] = 'Nieprawidłowy login lub hasło!';
                            header('Location: settings.php?error=1');
                        }
                    } else {
                        $_SESSION['blad'] = 'Nieprawidłowy login lub hasło!';
                        header('Location: settings.php?error=1');
                    }
                }
                $polaczenie->close();
            }

Nie wiem, co jest nie tak, także czy ktoś bardziej doświadczony mógłby rzucić okiem?

PS. Tak wiem, że lepsze jest PDO, jednakże nie ogarniam go totalnie i mimo poradnika Pana Zelenta nadal nie ogarniam, w dodatku ten sam kod, który jest na odcinku u mnie nie działa.. ;c

1 odpowiedź

odpowiedź 10 lipca 2019 przez OdsetekGlupoty Pasjonat (15,360 p.)
edycja 10 lipca 2019 przez OdsetekGlupoty

Witam,

Aby kod zadziałał, z kwerendy UPDATE usuń apostrofy. To załatwi sprawę, ale mam kilka zastrzeżeń:

Jeśli łączysz się z bazą obiektowo przy logowaniu, to dlaczego później przy zmianie hasła robisz nie nieobiektowo (mysqli_query)?
Zamiast mysqli_real_escape_string(), używaj Prepared Statements.
W żaden sposób nie zabezpieczasz kwerendy UPDATE, zmienne są gołe, to umożliwia wstrzyknięcie SQLa.
Poradniki Pana MZ są świetnie zrobione, ale kod, który pisze w swoich poradnikach (przynajmniej w PHP) jest słabej jakości.
Jesteś trochę niekonsekwentny - raz w headerze używasz cudzysłowa, raz apostrofów, do tego wstawiasz spacje w różne miejsca, gdzie indziej już tego nie robisz.
Dobrze formatujesz kod, plus za to.

komentarz 11 lipca 2019 przez Mariusz08 Maniak (62,300 p.)

Zamiast mysqli_real_escape_string(), używaj Prepared Statements.

Tak wiem, że lepsze jest PDO, jednakże nie ogarniam go totalnie

W żaden sposób nie zabezpieczasz kwerendy UPDATE, zmienne są gołe, to umożliwia wstrzyknięcie SQLa.

To już wina MZ że tworzy kod bez zabezpieczenia go i publikuje go dalej w Sieci.

komentarz 11 lipca 2019 przez OdsetekGlupoty Pasjonat (15,360 p.)

Mysqli też obsługuje Prepared Statements

To już wina MZ że tworzy kod bez zabezpieczenia go i publikuje go dalej w Sieci

MZ stosuje przynajmniej te mysqli_real_escape_string(), a autor w ogóle nie zabezpiecza kodu.

komentarz 11 lipca 2019 przez Rocket Gaduła (3,030 p.)

@Mariusz08, wina leży po stronie tego który mając świadomość błędów konsekwentnie je bagatelizuje.

Poza zwykłym htmlspecialchars czy preparowaniu zapytania, dobrze jest sprawdzić również czy jego typ nie uległ zmianie i ew. długość nie przekracza ograniczeń narzucanych przez bazę.

komentarz 12 lipca 2019 przez Patryk Kacprowicz Nowicjusz (230 p.)

@OdsetekGlupoty, Kod zabezpieczam wcześniej przed łączeniem z bazą, kod będzie i tak ulepszany a teraz jest taki jaki jest aby chociaż działało (wiem, jest to złe podejście i to bardzo złe)

Kod nadal nie działa

if ($rezultat = @$polaczenie->query(
                    sprintf("SELECT * FROM `users` WHERE id='%s'",
                        mysqli_real_escape_string($polaczenie, $_SESSION['id'])))) {
                    $ilu_userow = $rezultat->num_rows;
                    if ($ilu_userow > 0) {
                        $wiersz = $rezultat->fetch_assoc();
                        if (password_verify($old_pass, $wiersz['pass'])) {
                            $rezultat->free_result();
                            $connect = mysqli_connect($host, $db_user, $db_password);
                            $id = $_SESSION['id'];
                            $zmiana = mysqli_query($connect, "UPDATE users SET pass = '$new_pass' WHERE id = '$id'");
                            $connect->close();
                            header ("Location: wyloguj.php");
                        } else {
                                $_SESSION['blad'] = 'Nieprawidłowy login lub hasło!';
                                header('Location: settings.php?error=1');
                            }
                    } else {
                        $_SESSION['blad'] = 'Nieprawidłowy login lub hasło!';
                        header('Location: settings.php?error=1');
                    }
                }

Ja coś chyba źle robię.. ;c

komentarz 12 lipca 2019 przez OdsetekGlupoty Pasjonat (15,360 p.)
edycja 12 lipca 2019 przez OdsetekGlupoty

No, na pewno coś źle robisz ;)

Gdzie wybierasz bazę danych w mysqli_connect()? Nie wyświetlił Ci się żaden błąd?

Mówiłem o usunięciu apostrofów, ty usunąłeś grawisy, ale nevermind, apostrofy mogą zostać. Sorry za wprowadzenie w błąd.