[Zyry]

Tja , håller just nu på med att fixa ett Settings page för mitt system fast den vill inte uppdatera ett nuvarande lösenordet?

PHP-kod:

<html>
<head>
<style type="text/css">
body
{
color:White;
}
</style>
</head>
<body>
<form name="form1" method="post" action="Settings.php">
<td>
<table width="100%" border="0" cellpadding="3" cellspacing="1" bgcolor="black">
<tr>
<td colspan="3"><strong>Settings </strong></td>
</tr>
<tr>
<td width="78">Username</td>
<td width="6">:</td>
<td width="294"><input name="myusername" type="text" id="myusername"></td>
</tr>
<tr>
<td>Old Password</td>
<td>:</td>
<td><input name="mypassword" type="password" id="mypassword"></td>
</tr>
<tr>
<td width="78">New password</td>
<td width="6">:</td>
<td width="294"><input name="myusername" type="text" id="newpw"></td>

<td>&nbsp;</td>
<td>&nbsp;</td>
</tr>
<td><input type="submit" name="Submit" value="Make change!">
</form>
</body>
</html>
<?php
If (isset($_POST['newpw'])){
$host="XXXXXXXXXXXXXX"; // Host name 
$username="XXXXXXXXXXXX"; // Mysql username 
$password="XXXXXXXXXXXXX"; // Mysql password 
$db_name="XXXXXXXXXXXXXXXX"; // Database name 
$tbl_name="XXXXXXXXXXXXX"; // Table name


mysql_connect("$host", "$username", "$password")or die("cannot connect"); 
mysql_select_db("$db_name")or die("cannot select DB");

$myusername=$_POST['myusername']; 
$mypassword=$_POST['mypassword'];
$newpw=$_POST['newpw'];
$newpw = stripslashes($newpw);
$newpw = mysql_real_escape_string($newpw);
$myusername = stripslashes($myusername);
$mypassword = stripslashes($mypassword);
$myusername = mysql_real_escape_string($myusername);
$mypassword = mysql_real_escape_string($mypassword);

$sql="SELECT * FROM $tbl_name WHERE username='$myusername' and password='$mypassword'";
$result=mysql_query($sql);

$count=mysql_num_rows($result);

if($count==1){
$sql="UPDATE $tbl_name
SET password='$newpw' WHERE username='$myusername' and password='$mypassword'";
$result=mysql_query($sql);
Echo "Successfully changed your password!".$myusername."<br/>";
}
else {
echo "Wrong Username or Password";
}
}
?>

tackar på förhand!

[pelmered]

Här är felet:

Kod:

<td width="78">New password</td> 
<td width="6">:</td> 
<td width="294"><input name="myusername" type="text" id="newpw"></td>

<input name="myusername"...
ska vara
<input name="newpw"...

Sedan tycker jag verkligen att du ska krypter/hasha läsenorden så att de inte sparas i klartext i databasen

[Zyry]

Hur kryptar/hachar jag lösenordet?

[nosnaj]

Hashfunktion: http://se.php.net/sha1

[Zyry]

något annat förslag för hash funktioner?

Citat:

It is not recommended to use this function to secure passwords, due to the fast nature of this hashing algorithm

[captaindoe]

md5

[tartareandesire]

Citat:

Ursprungligen postat av captaindoe

md5

MD5 är ju sämre än SHA-1. SHA-1 + salt fungerar alldeles utmärkt men som alltid så bör man anpassa säkerheten efter användningsområde. Ibland räcker inte det samtidigt som till och med klartext kan vara okej i vissa fall.

[BjörnJ]

Citat:

Ursprungligen postat av tartareandesire

MD5 är ju sämre än SHA-1. SHA-1 + salt fungerar alldeles utmärkt men som alltid så bör man anpassa säkerheten efter användningsområde. Ibland räcker inte det samtidigt som till och med klartext kan vara okej i vissa fall.

Men man måste tänka på att även om inte tjänsten i fråga kräver hög säkerhet är det ändå viktigt att skydda lösenorden väl för användarnas skull, eftersom många använder samma lösenord på flera ställen.

[tartareandesire]

Citat:

Ursprungligen postat av BjörnJ

Men man måste tänka på att även om inte tjänsten i fråga kräver hög säkerhet är det ändå viktigt att skydda lösenorden väl för användarnas skull, eftersom många använder samma lösenord på flera ställen.

Absolut, jag gör det själv alltid rutinmässigt men tycker ändå inte det är helt nödvändigt i alla fall. Vet själv om en rad välkända sajter som sparar lösenord i klartext utan att de bryr sig nämnvärt och så länge det är på det viset spelar det egentligen inte heller så jättestor roll vad du själv gör - vet någon om vilka lösenord folk använder så är det ju bara att testa på oavsett hur du sparat dessa hos dig. Har man en omfattande lista på förekommande lösenord (folk tänker naturligtvis ganska lika) så kommer man också åt många konton (såvida sajterna inte har brute force-skydd av något slag förstås men lagrar de lösenord i klartext så är säkerheten i övrigt normalt sett ganska låg).

OM man av någon anledning väljer att ändå köra på helt okrypterade lösenord så kan man åtminstone se till att inte tillåta egenvalda lösenord.

[Adestro]

Du bör även salta din hash:
http://sv.wikibooks.org/wiki/L%C...-_MD5_och_salt