1. ホーム
  2. 質問と答え
  3. パスワードリセットリンク有効期限

パスワードリセットリンク有効期限

2012-01-14 31 views
2

誰かが私を喜ばせることができるかどうか疑問に思う。パスワードリセットリンク有効期限

私は「パスワードリセット」プロセスに関するかなりの調査を行っています。私が見つけたチュートリアルの1つでは、この機能を提供する次のコードをまとめました。

<?php 

// Connect to MySQL 
$c = mysql_connect("host", "user", "password"); 
mysql_select_db("database", $c); 

// Was the form submitted? 
if ($_POST["ForgotPasswordForm"]) 
{ 
    // Harvest submitted e-mail address 
    $emailaddress = mysql_real_escape_string($_POST["emailaddress"]); 

    // Check to see if a user exists with this e-mail 
    $userExists = mysql_fetch_assoc(mysql_query("SELECT `emailaddress` FROM `userdetails` WHERE `emailaddress` = '$emailaddress'")); 
    if ($userExists["emailaddress"]) 
    { 
       // Create a unique salt. This will never leave PHP unencrypted. 
       $salt = "KEY"; 

     // Create the unique user password reset key 
$password = md5($salt . $userExists["emailaddress"]); 


     // Create a url which we will direct them to reset their password 
     $pwrurl = "phpfile.php?q=" . $password; 

     // Mail them their key 
     $mailbody = "Dear user,\n\nIf this e-mail does not apply to you please ignore it. It appears that you have requested a password reset at our website \n\nTo reset your password, please click the link below. If you cannot click it, please paste it into your web browser's address bar.\n\n" . $pwrurl . "\n\nThanks,\nThe Administration"; 
     mail($userExists["emailaddress"], "", $mailbody); 
     echo "Your password recovery key has been sent to your e-mail address."; 
    } 
    else 
     echo "No user with that e-mail address exists."; 
} 

?>

パスワードのリセット

<?php 

// Connect to MySQL 
$c = mysql_connect("host", "user", "password"); 
mysql_select_db("database", $c); 

// Was the form submitted? 
if ($_POST["ResetPasswordForm"]) 
{ 
    // Gather the post data 
    $emailaddress = mysql_real_escape_string($_POST["emailaddress"]); 
    $password = md5(mysql_real_escape_string($_POST["password"])); 
    $confirmpassword = md5(mysql_real_escape_string($_POST["confirmpassword"])); 

    $q = $_POST["q"]; 

    $passwordhint = $_POST["passwordhint"]; 

    // Use the same salt from the forgot_password.php file 
    $salt = "KEY"; 

    // Generate the reset key 
    $resetkey = md5($salt . $emailaddress); 

    // Does the new reset key match the old one? 
    if ($resetkey == $q) 
    { 
     if ($password == $confirmpassword) 
     { 
      // Update the user's password 
      mysql_query("UPDATE `userdetails` SET `password` = '$password', `passwordhint` = '$passwordhint' WHERE `emailaddress` = '$emailaddress'"); 
      echo "Your password has been successfully reset."; 
     } 
     else 
      echo "Your password's do not match."; 
    } 
    else 
     echo "Your password reset key is invalid."; 
} 

?>

をパスワードを忘れた私は今、私は、ユーザーに送信したリンクの時限満了を追加したいと思います。私はStackoverflowコミュニティや他の多くの記事を見てきましたが、私が探していたものを見つけることができませんでした。

私はちょうど誰かが私を助けてくれるかどうか、私がこれをどのように達成するかについての少しの指導をしてくれたかどうか疑問に思っただけです。

多くのありがとうございます。

出典

2012-01-14 IRHM

+0

実際にDB接続データはすべてのPHPファイルに含まれていますか? – ThiefMaster

+0

こんにちは、私はスクリプトをまとめている間にこれを使用しています。その後、1つのファイルを処理するように変更されます。種類: – IRHM

答えて

1

パスワードリセットが要求されたときにタイムスタンプを使用してusersテーブルにフィールドを追加します。 キーが一致するかどうかをチェックすると、タイムスタンプを確認してタイムスタンプを確認します。

この意味は?

出典

2012-01-14 15:30:19 DanielOR

+0

こんにちは、これは私が達成しようとしているものです。敬具 – IRHM

0

これを行う方法は、ユーザーに送信するハッシュとユーザーテーブルで生成されたタイムスタンプの両方を保存することです。

リセットページにアクセスしたときに、再度生成するのではなく、データベースのハッシュをチェックします(このようにすると、実際のランダムハッシュを使用することができます)。最初の場所)、タイムスタンプもチェックしてください。

出典

2012-01-14 15:36:18 RMcLeod

関連する問題

 関連する問題