Все работает хорошо, если это не дает мне верный результат и ничего не меняется
Я пытаюсь написать сценарий смены пароля. Все идет правильно. Кроме этого. Он говорит мне, что это успешно, но ничего не меняется. Ничего не меняется в зашифрованном коде в моем mysql, а также, когда я пытаюсь войти в систему, я не могу использовать новый пароль, а только старый пароль. Вот код
<?php
session_start();
require_once('inc/functions.inc.php');
if (!isset($_POST['submit'])) {
die(header("Location: settings.php"));
}
if (isset($_SESSION['updatePasswordError'])) {
unset($_SESSION['updatePasswordError']);
}
$_SESSION['updatePasswordError'] = array();
if (isset($_SESSION['updatePasswordSuccess'])) {
unset($_SESSION['updatePasswordSuccess']);
}
$_SESSION['updatePasswordSuccess'] = array();
if (strlen($_POST['newpassword']) < 8) {
$_SESSION['updatePasswordError'][] = "New Password must be at least 8 characters";
}
else if ($_POST['newpassword'] != $_POST['confirmnewpassword']) {
$_SESSION['updatePasswordError'][] = "Passwords don’t match";
}
$mysqli = new mysqli(DBHOST,DBUSER,DBPASS,DB);
if ($mysqli->connect_errno) {
error_log("Cannot connect to MySQL: " .
$mysqli->connect_error);
return false;
}
$incomingOldPassword = $mysqli->real_escape_string(htmlspecialchars($_POST['currentpassword']));
$query = "SELECT * from Customer WHERE id = '{$user->id}'";
if (!$result = $mysqli->query($query)) {
$_SESSION['updatePasswordError'][] = "Select Error. Try Again";
error_log("Cannot retrieve account for {$user}");
return false;
}
// Will be only one row, so no while() loop needed
$row = $result->fetch_assoc();
$dbPassword = $row['password'];
if (crypt($incomingOldPassword,$dbPassword) != $dbPassword) {
$_SESSION['updatePasswordError'][] = "Old Password Incorrect";
}
if (count($_SESSION['updatePasswordError']) > 0) {
die(header("Location: settings.php"));
} else {
$cryptednewPassword = crypt($_POST['newpassword']);
$newPassword = $mysqli->real_escape_string($cryptednewPassword);
$result = "$updatePassword($newPassword)";
if ($result) {
$_SESSION['updatePasswordSuccess'] [] = "Successfully Updated";
die(header("Location: settings.php"));
} else {
die(header("Location: settings.php"));
}
}
function updatePassword($newPassword) {
$mysqli = new mysqli(DBHOST,DBUSER,DBPASS,DB);
$query = "UPDATE customer SET password = ? WHERE id = $user->id";
$stmt = $mysqli->prepare($query);
$stmt->bind_param("s", $newPassword);
$result = $stmt->execute();
$mysqli->close();
return $result;
}
?>
Если я попытаюсь использовать неправильный пароль, не соответствующий пароль или менее 8 символов, я получаю сообщение об ошибке. Но все кажется в порядке кроме этого
Не используйте htmlspecialchars() для кодирования параметров. Это следует использовать только при отображении пользовательских данных на веб-страницах, чтобы предотвратить эксплойты XSS.
Где вы устанавливаете $user?
Вы должны использовать password_hash() и password_verify() для шифрования пароля, а не crypt().
Ответы 1
Вы не вызываете функцию updatePassword(). Эта строка:
$result = "$updatePassword($newPassword)";
не вызывает функцию. Он просто создает строку, содержащую значения переменных $updatePassword и $newPassword. Поскольку $updatePassword не существует, это эквивалентно написанию:
$result = "($newPassword)";
Вы также должны были получить предупреждающее сообщение о неопределенной переменной.
Способ вызова функции:
$result = updatePassword($newPassword);
Вы не заключаете вызов функции в кавычки и не ставите $ перед именем функции.
Вам также необходимо установить $user в основном скрипте и передать его в качестве аргумента функции или использовать global $user; внутри функции.
Спасибо. Я изменил это. Но, все тот же ответ. Я пытаюсь вызвать переменную со страницы объекта. правильно ли это $query = "ОБНОВИТЬ пароль клиента SET = ? WHERE id = '{$user->id}'";
Это правильно, если вы правильно установили $user. Разве вы не получаете предупреждение о неопределенной переменной?
Я не получаю сообщение об ошибке для неустановленной переменной. Я также использовал другие переменные этого в версии для печати. я не знаю, почему он не работает. Я использовал user->username и т.д.
У вас включен error_reporting(E_ALL);? Кажется, ничего не настраивается $user, если только оно не установлено в functions.inc.php.
Даже если он установлен в основном скрипте, он не установлен в области действия функции. Прочтите последнюю строчку ответа.
Я проверю сообщения об ошибках. В файле функций есть требование classuser. Тем не менее, я попытался ввести скрытый ввод для идентификатора пользователя-> в файл настроек, а затем я использовал $_post, чтобы получить его в функции внутри переменной. Итак, у меня есть что-то вроде $userid=$_POST['userid];
Затем я использовал, где id = $userid. И я получаю эту ошибку. Неустранимая ошибка: Uncaught Error: вызов функции-члена bind_param() для логического значения в C:\xampp\htdocs\two\inc\update-password.inc.php:64 Трассировка стека: #0 C:\ xampp\htdocs\two\inc\update-password.inc.php(49): updatePassword('$1$BC5V4zBN$00f...') #1 C:\xampp\htdocs\two\profile-update.php(5 ): include('C:\\xampp\\htdocs...') #2 {main} добавлено в C:\xampp\htdocs\two\inc\update-password.inc.php в строке 64
Это означает, что prepare() получил ошибку. Вам нужно проверить, успешно ли это, и напечатать $db->error, когда это не удастся.
Должно быть $query = "UPDATE customer SET password = ? WHERE id = ?";, а потом $stmt->bind_param("si", $newPassword, $userid);
@Layoolar Вы не должны использовать real_escape_string для параметров, связанных с bind_param.
Спасибо. Теперь функция выглядит следующим образом: function updatePassword() { $mysqli = new mysqli(DBHOST,DBUSER,DBPASS,DB); $cryptednewPassword = crypt($_POST['новый пароль']); $query = "ОБНОВИТЬ пароль клиента SET = ? WHERE id = '{$user->id}'"; $stmt = $mysqli->подготовить($запрос); $stmt->bind_param("s", $cryptednewPassword); $результат = $stmt->выполнить(); $mysqli->закрыть(); вернуть $результат; }
if (count($_SESSION['updatePasswordError']) > 0) { die(header("Расположение: settings.php")); } else { $cryptednewPassword = crypt($_POST['новый пароль']); $результат = обновить пароль(); if ($result) { $_SESSION['updatePasswordSuccess'] [] = "Обновлено успешно"; die(header("Расположение: settings.php")); } else { die(header("Расположение: settings.php")); } }
Вы до сих пор не установили $user нигде в функции. Вы понимаете переменную область видимости?
Я совсем запутался. Я просто добиваюсь успеха. больше не понимаю
Поскольку $user не задано, $user->id пусто, поэтому выполняется WHERE id = ''.
Это не сообщит об ошибке, но обновлять нечего.
Почему вы настаиваете на использовании подстановки переменных вместо bind_param вместо $user->id?
Нет необходимости сбрасывать переменную прямо перед тем, как присвоить ей новое значение.