login  Naam:   Wachtwoord: 
Registreer je!
 Forum

[PHP] [SQL] Forgot Pass

Offline Sar - 25/09/2007 09:14
Avatar van SarPHP interesse Heey,

Ik ben bezig met een wachtwoord vergeten scriptje.
Nu doe ik dit met een validatie code, dus ze klikken op de link wachtwoord vergeten, dan vult de gebruiker zijn gebruikersnaam + mail in en wordt er een validatie code in de mysql tabel opgeslagen en krijgt hij een mailtje met een link waar hij zijn wachtwoord kan wijzigen.

De link ziet er zo uit:

http://URL.nl/?...tu9b3w9b94

Als hij dan zijn wachtwoord heeft gewijzigd is het de bedoeling dat de code niet meer gebruikt kan worden, en wordt hij verwijderd uit de database.

Is dit een goeie/veilige manier?

Zo nee, hoe zou ik het dan beter kunnen doen?

Alvast bedankt!

Grts,

Sar

3 antwoorden

Gesponsorde links
Offline ArndJan - 25/09/2007 10:53
Avatar van ArndJan PHP interesse Ik zou in ieder geval je GET een hash geven, dit maakt het wel heel makkelijk voor een hacker!

Of gebruik maken van de rewrite module van apache (.htaccess)
Offline Stefan14 - 25/09/2007 10:55
Avatar van Stefan14 PHP gevorderde tenzij iemand anders tevens de validatiecode weet, is dit naar mijn mening een veilige manier.

Wat je ook kunt doen en vaak gedaan wordt is het systeem een nieuw wachtwoord laten maken, dit in een e-mailtje zetten.
Hij kan dan met dan vernieuwde wachtwoord inloggen waarna hij in zijn profiel het wachtwoord kan veranderen naar wat hij wil.

Dan heb je geen problemen dat iemand de validatiecode kan weten, want je moet dan gewoon in de e-mail kunnen om het nieuwe wachtwoord te weten te komen.
Met die validatiecode zou je (de kans is heel klein) het wachtwoord van iemand anders kunnen veranderen als je de precieze url weet.
Offline Sar - 25/09/2007 11:18
Avatar van Sar PHP interesse hmm, ja mischien is dat nog wel veiliger, maar ik denk dan dat ik het zo ga doen.

De gebruiker vraagt een nieuw wachtwoord aan.
Hij krijgt een mailtje met een link en een door mijn script gegenereerd wachtwoord. Ondertussen is er ook een validatie code aangemaakt in de database.
Nu kan hij via deze link en met het gegenereerde wachtwoord een nieuw wachtwoord aanmaken.

Wel dubbelop, maar wel veilig. denk ik?
Gesponsorde links
Dit onderwerp is gesloten.
Actieve forumberichten
© 2002-2020 Sitemasters.be - Regels - Laadtijd: 0.104s