Сменить пароль скрипта с помощью BCRYPT

Question

Сменить пароль скрипта с помощью BCRYPT

1

У меня есть форма входа/регистрации, которые работают отлично. Теперь я пытаюсь сделать скрипт, чтобы позволить пользователю сменить пароль, но я не понимаю, почему это не работает. Это HTML-форма

<form action="editAccount.php" method="post"> 
  <div class="input-group">
    <span class="input-group-addon">Password:</span>
      <input type="password" name="password" class="form-control" placeholder="password">
  </div>
  <button class="btn btn-primary custom-button btn-block" type="submit"><i class="fa fa-check"></i> Save Changes</button>                           
    <div class="input-group">
       <span class="input-group-addon">Confirm password:</span>
          <input type="password" name="passwordConfirm" class="form-control" placeholder="Confirm password">
    </div>                                                                                                            
</form>

И это часть PHP

if(empty($_SESSION['id'])) 
{ 
    header("Location: userAction.php"); 
    die("Redirecting to userAction.php"); 
} 
if(isset($_POST['submit']))
{
//basic validation
if(strlen($_POST['password']) < 3){
    $error[] = 'Password is too short.';
}

if(strlen($_POST['passwordConfirm']) < 3){
    $error[] = 'Confirm Password is too short.';
}

if($_POST['password'] != $_POST['passwordConfirm']){
    $error[] = 'Password and Confirm password doesn't match.';
}
  if(empty($error)){

        $hashedpassword = $user->password_hash($_POST['password'], PASSWORD_BCRYPT);

        try {
            $stmt = $pdo->prepare("UPDATE users SET password = :hashedpassword WHERE id = :user_id");
            $stmt->execute(array(
                    ':hashedpassword' => $hashedpassword,
                    ':user_id' => $_SESSION['id']
            ));

            header('Location: userAction.php?action=joined');
            exit;

        } catch(PDOException $e) 
          {
             $error[] = $e->getMessage();
          }

   }
}

На var_dump($_POST['password'] результат - string(11) "newpassword" т.е. POST получил пароль.

var_dump($hashedpassword) - NULL. Поэтому проблема должна быть в функции хеширования.

Вот и то, что у меня есть в $user

class User extends Password{

private $_db;

function __construct($pdo){
    parent::__construct();

    $this->_db = $pdo;
}

 private function get_user_hash($username){ 

    try {
        $stmt = $this->_db->prepare('SELECT password FROM users WHERE username = :username AND active="Yes" ');
        $stmt->execute(array('username' => $username));

        $row = $stmt->fetch();
        return $row['password'];

    } catch(PDOException $e) {
        echo '<p class="bg-danger">'.$e->getMessage().'</p>';
    }
 }

 public function login($username,$password){

    $hashed = $this->get_user_hash($username);

    if($this->password_verify($password,$hashed) == 1){

        $_SESSION['loggedin'] = true;          
        return true;
    }   
 }
 public function login_user_id($username){  

    try {
        $stmt = $this->_db->prepare('SELECT id FROM users WHERE username = :username');
        $stmt->execute(array('username' => $username));

        $row = $stmt->fetch();

        return $row['id'];

    } catch(PDOException $e) {
        echo '<p class="bg-danger">'.$e->getMessage().'</p>';
    }
 }

 public function logout(){
    session_destroy();
 }

 public function is_logged_in(){
    if(isset($_SESSION['loggedin']) && $_SESSION['loggedin'] == true){
        return true;
    }       
 }

}

John 27 авг. 2015, в 10:24

Источник

2

В editAccount.php есть неуместная цитата в этой строке: 'Password and Confirm password doesn't match.' (Нужно убежать ' в не)
Kamehameha 27 авг. 2015, в 07:29
0

Виноват. Спасибо за это. Исправлено, но другая проблема все еще там.
John 27 авг. 2015, в 07:32
1

Что такое $user->password_hash() ? Это не похоже на user класс. Это по ошибке используется вместо встроенной функции php password_hash() ?
Kamehameha 27 авг. 2015, в 07:40
0

Может быть, это ошибка .. Я использовал эту часть из части входа / регистрации. Но даже если я удалю $user и оставлю только $hashedpassword = password_hash($_POST['password'], PASSWORD_BCRYPT); скрипт по-прежнему не работает.
John 27 авг. 2015, в 07:41
0

Пробовал от php 5.4, 5.5 и 5.6 ..
John 27 авг. 2015, в 07:43
0

Хм .. password_hash () вернет что-то даже для нулевых / пустых строковых значений.
Kamehameha 27 авг. 2015, в 07:45
0

Он даже не входит в блок if(isset($_POST['submit'])) { ... потому что я пытался отправить пустую форму и не жаловался на пустые входные данные ... короткий пароль или что-то еще.
John 27 авг. 2015, в 07:53
1

Ах ... Это потому что у вас нет <input type="submit" /> в вашем html.
Kamehameha 27 авг. 2015, в 08:08

Показать ещё 6 комментариев

Теги:

php

1 ответ

Ещё вопросы

В editAccount.php есть неуместная цитата в этой строке: 'Password and Confirm password doesn't match.' (Нужно убежать ' в не)
Виноват. Спасибо за это. Исправлено, но другая проблема все еще там.
Что такое $user->password_hash() ? Это не похоже на user класс. Это по ошибке используется вместо встроенной функции php password_hash() ?
Может быть, это ошибка .. Я использовал эту часть из части входа / регистрации. Но даже если я удалю $user и оставлю только $hashedpassword = password_hash($_POST['password'], PASSWORD_BCRYPT); скрипт по-прежнему не работает.
Хм .. password_hash () вернет что-то даже для нулевых / пустых строковых значений.
Он даже не входит в блок if(isset($_POST['submit'])) { ... потому что я пытался отправить пустую форму и не жаловался на пустые входные данные ... короткий пароль или что-то еще.
Ах ... Это потому что у вас нет <input type="submit" /> в вашем html.

semihcosu · Accepted Answer · 2015-08-27T05-03-00.000Z

Как вы сказали в комментариях, он даже не входит в if(isset($_POST['submit'])) { part, потому что у вас нет ввода с именем "submit".

Попробуйте с помощью <input type="submit" name="submit"> или скрытого ввода с именем "submit".

Э-э ... почему <button> не работает :) ... так что это решило проблему, и теперь пароль изменен.
@John um .. Возможно, вы также сможете использовать атрибут «name» с <button> . Извините, я забыл упомянуть об этом>. <
Да, это работает! Спасибо за помощь..
Последняя вещь. В скрипте, где обновляется пароль, как я могу автоматически выйти из аккаунта пользователя?
После выполнения запроса $ stmt вызовите метод logout () из класса User ( $user->logout() ). Или, если это не удалось, вы можете просто уничтожить сессию: session_destroy();