Напоминание пароля с паролями, зашифрованными по md5
Я создаю "Забыли пароль?" страница моего сайта.
Очевидно, что когда новый пользователь создает учетную запись, скрипт php шифрует пароль, выбранный с использованием алгоритма md5.
Теперь все работает нормально, за исключением того, что когда пользователь запрашивает напоминание пароля, используя страницу "Забыли пароль", электронное письмо, которое он возвращает, возвращает пароль, зашифрованный в md5, а не реальный.
Ниже приведен код, который я использую.
$query2="SELECT password FROM users WHERE email='$email'";
$risultato2 = mysql_query($query2) or die ($query2);
while ($row = mysql_fetch_array($risultato2))
{
$passToSend = md5($row['password']);
}
echo "<center>We have sent an e-mail to <b>".$email."</b> containing a link to recover your password.</center>";
$mittente = 'From: "My website" <[email protected]> ';
$destinatario = $email;
$oggetto = "Recover your password";
$messaggio = "The password you've choosen during the sign up process is: ".$passToSend."\n\nIf you'd like to change your password, please visit http://www.mywebsite.com/mydashboard/changepwd.php\n\n Please ignore this message if you haven't requested a password reminder.";
mail($destinatario, $oggetto, $messaggio, $mittente);
Что я могу сделать?
1 ответ
Никогда не пытайтесь предоставить функцию, позволяющую людям восстановить свой пароль. Если вы правильно храните пароли, это должно быть невозможно.
Примечание. Вы должны быть хешировать пароли, прежде чем помещать их в базу данных, а не когда вы их вынимаете, а MD5 - неподходящий алгоритм хэширования, поэтому вам нужно лучше заботиться о паролях пользователей.
Создайте токен, состоящий из случайных символов (сделайте его довольно длинным). Храните его в таблице рядом с идентификатором пользователя (или основным ключом таблицы пользователей) и отметкой времени. Отправьте по электронной почте пользователю этот токен (встройте его в URL для удобства). Когда они следуют по ссылке, дайте им форму, которая позволяет им установить новый пароль для своей учетной записи (который вы можете идентифицировать из токена).
Удалите токен после сброса пароля, он должен быть одноразовым токеном.
Удалите токены, которые не используются через некоторый период времени (например, 24 часа) с заданием cron.
-
0Лучше было бы хранить только хэш токена, в противном случае злоумышленник с доступом для чтения к базе данных (SQL-инъекция) может запросить сброс, прочитать токен и получить доступ к учетной записи.martinstoeckli
-
0Или токен "истекает". Другими словами, обычно оставляйте этот столбец в базе данных пустым и заполняйте его только случайно сгенерированным токеном, когда пользователь запрашивает сброс пароля. Затем столбец следует очистить снова либо после сброса, либо через несколько часов, в зависимости от того, что наступит раньше.Michael Goldstein
Ещё вопросы
- 0Как уничтожить все элементы с помощью вкладок jQuery UI?
- 0Генерация нескольких JQuery Click
- 1Python Selenium: получить значения из выпадающего списка
- 1Использование универсального интерфейса внутри другого универсального интерфейса
- 0Uncaught TypeError: Невозможно вызвать метод 'tabsClick' из неопределенного
- 1Python запрашивает Microsoft Graph API-аутентификацию
- 0Свойство, которое не верно для классов
- 0Move_uploaded_file не нравится tmp_name
- 0Jquery slidetoogle несколько делений
- 0Объекты Qt в области просмотра OpenGL
- 0Структура данных для обработки списка из 3 целых чисел
- 0Угловой JS передает массив строк в директиву
- 0unordered_set передать по адресу
- 0Laravel / Omnipay PayPal, передать пользовательскую сумму доставки
- 0Выберите последнюю запись столбца с group_by
- 0Сортировка массива в зависимости от разных значений
- 0Как использовать $ sce.trustAsHtml с некоторым узлом HTML
- 0ionicSideMenu: отключить перетаскивание для одной стороны, но разрешить для другой?
- 1Атрибуты метода в WebForms
- 0необходимо отобразить изображение при наведении курсора - карта изображения с использованием Raphaeljs
- 1Метод, который дал два целых числа, возвращает значение, которое ближе всего к 1000
- 1Eclipse plugin dev - Как добавить гиперссылку на FieldEditorPreferencePage
- 0jQuery: установить Xml Node в элемент DOM
- 0Скопируйте вывод qDebug ()
- 1Удаление строк из столбца Pandas DataFrame
- 0Добавить желаемое количество входных текстовых полей
- 1Клиент XSockets подключается, но не получает сообщения
- 0Dygraphs: Свернуть / скрыть часть диапазона дат по оси X
- 0Есть ли разница между этими условными присваиваниями, которые обрабатывают значения по умолчанию?
- 1Сервер совершил нарушение протокола. Section = ResponseStatusLine в c #
- 1Пользовательская сериализация gemfire не помогает
- 0Сортировка списка, содержащего классы, на основе закрытых членов класса
- 0как выбрать таблицу по метке th с помощью jquery
- 0PHP переписать значение cookie без сброса времени жизни
- 1Групер и ось должны быть одинаковой длины в Python
- 1Создать строку из n символов без цикла [duplicate]
- 0Facebook API - реализация приглашения друзей, как на Quora
- 0Передача массива из JQuery в PHP через POST
- 0Исходя из идеи, MySQLNonTransientConnectionException: не удалось создать соединение с сервером базы данных
- 0Деструктор не разрушает объекты
- 0Отправка значений в базу данных с помощью Python (проект SenseHAT)
- 0проблемы с плагином проверки jQuery и входным файлом
- 0Добавление коробки количества к списку товаров magento
- 0Как отредактировать значение 3 метки после нажатия на HREF с Javascript?
- 1Разница в форматировании подписки на события
- 0Как настроить позиции с использованием HTML в DW?
- 0Отрицательные биты не работают как ожидалось PHP
- 0Нужна регулярная фильтрация с помощью угловой таблицы
- 0Невозможно записать в реестр
- 1Листовка сделать PolyLine поверх GeoJson
