Discussion :

[Spire_]

Bien le bonjour tout le monde,

utilisant PHP depuis peu, je souhaiterais savoir comment faire pour générer un lien envoyé par e-mail qui active un mot de passe généré aléatoirement.

J'ai déjà l'envoi de l'e-mail du nouveau mot de passe, mais l'update se fait tout seul dans la base de donnée. Donc, comment faire pour générer un lien permettant l'éxécution de la requête sql ?

Au plaisir de vous lire.

[Spire_]

Bonsoir,

j'y suis presque.
Désormais, lorsqu'un membre entre son adresse e-mail dans "mot de passe oublié", celui-ci reçoit dans sa messagerie un lien de confirmation permettant d'activer un mot de passe généré aléatoirement. Ce mot de passe est aussi envoyé par e-mail.

Le hic, c'est que dès qu'une personne entre http://www.lesite.com/repertoire/con...essse@mail.com dans l'url, ceci active directement un mot de passe à la personne à qui appartient l'adresse e-mail.

Le lien de confirmation est sous cette forme:
http://www.lesite.com/repertoire/con..._md5_aleatoire.

Le code de confirmation:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
<?php
/* Connexion à la base de donnée MySql. */
include ('../mysql/connection_mysql.php');
 
/* Attribuer des petits mots pour le lien de validation. */
$email = $_GET['ema'];
$code = $_GET['code'];
 
/* Récupérer la clé générée aléatoirement. */
$sql_code = "SELECT code, email FROM users WHERE email = '$email'";
$result_code = mysql_query($sql_code) or die("Erreur SQL :  " . mysql_error());
$data_code = mysql_fetch_assoc($result_code);
 
if ($code != mysql_num_rows($result_code))
     {
 
         /* Générer un nouveau mot de passe. */
         include ('./function_new_password.php');
 
   		 /* Sélectionner pseudo correspondant pour l'envoi du nouveau mot de passe. */
		 $sql_nickname = "SELECT nickname FROM users WHERE email = '$email'";
		 $result_nickname = mysql_query($sql_nickname) or die("Erreur SQL :  " . mysql_error());
		 $data_nickname = mysql_fetch_assoc($result_nickname);
 
	     /* Mettre à jour le mot de passe. */
		 $sql_maj_password = "UPDATE users SET password = MD5('$new_password') WHERE email = '$email'";
		 mysql_query($sql_maj_password);
 
		 /* Envoyer le nouveau mot de passe par e-mail, car le lien de confirmation a été cliqué et est valide. */
		 include ('./send_new_password_email.php');
 
         /* Informer l'internaute du bon déroulement. */	
         echo '<img src="../images/success.gif" /><font color="green">Succès: Un nouveau mot de passe vient de vous être envoyé</font>.';
     }
 
else
	 {
		 echo '<img src="../images/error.gif" /><font color="red">Erreur: Ce lien n\'est pas valide</font>.';
	 }
	 		 /* Fermer la connexion MySql. */
         mysql_close();
 
?>

Au plaisir de vous lire. (:

[ska_root]

Bonsoir,

il faut que :
-tu utilises un hash (md5, sha ou autre) pour crypter l'adresse email dans ton lien
-dans la page de génération, tu décryptes le hash pour générer le nouveau MDP et l'associer a l'email dans la base
-tu supprimes le hash dans la base de données

[Spire_]

Merci de ta réponse.

J'ai procédé à un nouveau système que voici.

La personne entre son adresse e-mail dans mot de passe oublié.
Un e-mail lui ai envoyé avec son nouveau mot de passe et un lien de confirmation. Si elle clique sur le lien de confirmation, le nouveau mot de passe remplace l'ancien.

Le hic, c'est que le problème est presque le même. Si une personne entre l'adresse e-mail d'une autre dans mot de passe oublié, ceci va générer un nouveau mot de passe sans le remplacer. La personne n'a plus qu'à entrer un lien comme dit sur mon message précédent, et hop son mot de passe sera changé.
Mais le code est plus simple.

Comment faire pour décrypter un hashage sachant que c'est irréversible ?

Le nouveau code:

send_password.php:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
<?php
/* Connexion à la base de donnée MySql. */
include ('./mysql/connection_mysql.php');	
 
/* Récupérer les informations données dans les champs. */
include ('./includes/recup_field.php'); 
 
/* Vérifier si les champs sont vides. */ 
if (empty($email))
	 { 
         echo '<img src="./images/error.gif" /><font color="red">Erreur: Vous devez indiquer votre adresse électronique</font>.';
		 include ('./password.php');
		 exit;
     }
 
/* Aucun champ n'est vide, exécution des requêtes Sql. */
else      
     {			
		 $sql_email = "SELECT email FROM users WHERE email = '$email'";
	     $result_email = mysql_query($sql_email) or die("Erreur SQL :  " . mysql_error());
		 $data_email = mysql_fetch_assoc($result_email);
 
		 /* Vérifier si l'adresse électronique est présente dans la base de données. */
		 if ($data_email['email'] != $email)
			 {
				 echo '<img src="./images/error.gif" /><font color="red">Erreur: Cette adresse électronique n\'est pas reconnue par notre base de données</font>.';
				 include ('./password.php');
		         exit;
		     }
		 else
			 {
			     /* Sélectionner le pseudo correspondant à l'adresse e-mail entrée. */
			     $sql_nickname = "SELECT nickname FROM users WHERE email = '$email'";
		         $result_nickname = mysql_query($sql_nickname) or die("Erreur SQL :  " . mysql_error());
			     $data_nickname = mysql_fetch_assoc($result_nickname);
 
				 /* Sélectionner le mot de passe correspondant à l'adresse e-mail entrée. */
		         $sql_password = "SELECT password FROM users WHERE email = '$email'";
		         $result_password = mysql_query($sql_password) or die("Erreur SQL :  " . mysql_error());
		         $data_password = mysql_fetch_assoc($result_password);
 
				 /* Générer la clé de confirmation du changement de mot de passe. */
				 $code = md5(uniqid(rand(), true));
 
				 /* Mettre à jour la clé de confirmation dans la base de données. */
				 $sql_code = "UPDATE users SET code = '$code' WHERE email = '$email'";
                 mysql_query($sql_code);
 
				 /* Générer un nouveau mot de passe. */
                 include ('./forget/function_new_password.php');
 
				 /* Implémenter le nouveau mot de passe sans le remplacer pour le moment. */
		         $sql_new_password = "UPDATE users SET new_password = MD5('$new_password') WHERE email = '$email'";
		         mysql_query($sql_new_password);
 
				 /* Envoyer l'e-mail contenant le lien de confirmation. */
				 include ('./forget/send_confirmation.php');
 
				 if (!mail($email, $subject, /*$data_password['password']*/ $new_password, $headers))
				     {
                         echo '<img src="./images/error.gif" /><font color="red">Erreur: Problème lors de l\'envoi de l\'e-mail</font>.';
						 include ('./password.php');
		                 exit;
					 }
 
				 /* Informer l'internaute du bon déroulement. */
                 echo '<img src="./images/success.gif" /><font color="green">Succès: Un e-mail de confirmation vous a été envoyé</font>. <a href="./login.php">Cliquez ici</a> pour vous connecter.';
                 include ('./password.php');
                 exit;
 
	             /* Fermer la connexion MySql. */
                  mysql_close();
	   	     }
	 }
?>

send_confirmation.php:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
/* Envoyer l'e-mail contenant le lien de confirmation. */
$subject = 'Confirmation d\'un nouveau mot de passe';
$message = 'Vous avez demandé un nouveau mot de passe. <br />
		    Pour confirmer cette demande, veuillez cliquez sur le lien ci-dessous. <br />
			<br />Si vous n\êtes pas à l\'origine de cette demande, ne cliquez pas. <br />
			<strong>Pseudo: </strong>' . htmlentities($data_nickname['nickname']) .
			'<br /><strong>Nouveau mot de passe: </strong>' . htmlentities($new_password) .
			'<br />http://perso-spire.site40.net/forget/confirmation.php?ema='.urlencode($email).'&cod='.urlencode($code).'';
$recipient = htmlentities($_POST['email']);
$headers = "From: \"Webmaster\"<moi@domaine.com>\n";
$headers .= "Content-type: text/html; charset=utf-8";
mail($recipient, $subject, $message, $headers);
?>

confirmation.php:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<?php
/* Connexion à la base de donnée MySql. */
include ('../mysql/connection_mysql.php');
 
/* Attribuer des petits mots pour le lien de validation. */
$email = $_GET['ema'];
$code = $_GET['cod'];
 
/* Récupérer la clé générée aléatoirement. */
$sql_code = "SELECT code, email FROM users WHERE email = '$email'";
$result_code = mysql_query($sql_code) or die("Erreur SQL :  " . mysql_error());
$data_code = mysql_fetch_assoc($result_code);
 
$sql_new_old_password = "SELECT email FROM users WHERE password = new_password";
$result_new_old_password = mysql_query($sql_code) or die("Erreur SQL :  " . mysql_error());
 
if ($email == mysql_num_rows($result_new_old_password))
     {
		 echo '<img src="../images/error.gif" /><font color="red">Erreur: Ce lien n\'est plus valide</font>.';
	 }
 
else
     {   
	     /* Remplacer le mot de passe perdu par le nouveau. */
		 $sql_maj_password = "UPDATE users SET password = new_password WHERE email = '$email'";
		 mysql_query($sql_maj_password);
 
         /* Informer l'internaute du bon déroulement. */	
         echo '<img src="../images/success.gif" /><font color="green">Succès: Votre mot de passe a été changé</font>. <a href="../login.php">Cliquez-ici</a> pour vous connecter avec le nouveau mot de passe.';
     }
 
/* Fermer la connexion MySql. */
mysql_close();
 
?>

[Doksuri]

Bonsoir,

il faut que :
-tu utilises un hash (md5, sha ou autre) pour crypter l'adresse email dans ton lien
-dans la page de génération, tu décryptes le hash pour générer le nouveau MDP et l'associer a l'email dans la base
-tu supprimes le hash dans la base de données

pour ne pas embrouiller les gens, petit rappel =)
hash != crypt
cryptage = decryptage = re lisible
hash = impossible a "dehasher" = a jamais illisible

[Spire_]

D'accord, je crois comprendre.
Donc décrypter serait comparer deux chaînes cryptées c'est ça ?

[ska_root]

oui en effet, j'induis en erreur...

Il te faudra bien comparer 2 hashages.