Olvide contraseña con Dreamweaver

disweb · #1 (**permalink**) 01/08/2009, 12:08

¿Se puede crear un sistema de recuperación de contraseña (Forgot password) en Dreamweaver?

El sistema de login lo he creado utilizando el Email como usuario, y los usuarios inscritos quieren recuperar su contraseña, pero la que ellos enviaron, sin que se genere una nueva, como sucede en la mayoría de scripts que he encontrado en San Google. La contraseña de momento no está encriptada, más adelante mejoraré esa falla de seguridad.

Ojalá puedan ayuarme, por favor y gracias por sus respuestas.

juaniquillo · #2 (**permalink**) 03/08/2009, 15:15

Yo lo que hago en esos casos es crear un enlace que lleve a un campo para el email. cuando el usuario envía el email verifico que esté en la base de datos, y si está le envío un email con un enlace con código especial donde puede cambiar su password. Algo complicado para hacerlo solo con DW pero si quieres te ayudo.

disweb · #3 (**permalink**) 03/08/2009, 19:05

Hola Juaniquillo, gracias por responderme.

Te agradezco bastante si me ayudas, me gustaría implementar éste código en el sitio, pues es molesto estar buscando en la Base de Datos los datos para enviárselos a los usuarios, mejor que ellos mismos lo hagan de forma automática.

Espero tus instrucciones.

juaniquillo · #4 (**permalink**) 14/08/2009, 08:11

Saludos de nuevo. Perdón por la larga ausencia pero he tenido trabajo por un tubo. Bueno, lo primero es que necesitas un formulario donde la persona va a escribir su email o su usuario. Ese ejemplo lo voy a hacer con el email. Al textfield donde escribe el usuario le das el nombre de 'email' (sin comillas).

Ahora, lo mejor es verificar primero si el email existe. Para eso hacemos un recordset donde el email es igual al campo de email en tu base de datos:

Ahora vamos al código y arreglamos un poco el recordset. Encierras el recordset y el código que recibe la variable email dentro de una condicional para que sólo se ejecute cuando se envíe el formulario, osea, esto:

Código php:

Ver original$colname_Recordset1 = "-1";
if (isset($_POST['email'])) {
  $colname_Recordset1 = (get_magic_quotes_gpc()) ? $_POST['email'] : addslashes($_POST['email']);
}
mysql_select_db($database_conn_pruebas_local, $conn_pruebas_local);
$query_Recordset1 = sprintf("SELECT * FROM usuarios WHERE email = %s", GetSQLValueString($colname_Recordset1, "text"));
$Recordset1 = mysql_query($query_Recordset1, $conn_pruebas_local) or die(mysql_error());
$row_Recordset1 = mysql_fetch_assoc($Recordset1);
$totalRows_Recordset1 = mysql_num_rows($Recordset1);

se convierte en esto:

Código php:

Ver originalif(!empty($_POST['email'])){
 
    $colname_Recordset1 = "-1";
    if (isset($_POST['email'])) {
      $colname_Recordset1 = (get_magic_quotes_gpc()) ? $_POST['email'] : addslashes($_POST['email']);
    }
    mysql_select_db($database_conn_pruebas_local, $conn_pruebas_local);
    $query_Recordset1 = sprintf("SELECT * FROM usuarios WHERE email = %s", GetSQLValueString($colname_Recordset1, "text"));
    $Recordset1 = mysql_query($query_Recordset1, $conn_pruebas_local) or die(mysql_error());
    $row_Recordset1 = mysql_fetch_assoc($Recordset1);
    $totalRows_Recordset1 = mysql_num_rows($Recordset1);
    
}

Vamos a hacerlo por pasos, dime si hasta aquí todo está bien y luego seguimos.

disweb · #5 (**permalink**) 15/08/2009, 23:09

Excelente, voy entendiendo bien. Por favor sigamos. Gracias.

juaniquillo · #6 (**permalink**) 16/08/2009, 10:34

Seguimos entonces. he empezado a comentar el código que vamos trabajando para que se entienda mejor.

Ahora, antes de seguir, la última parte del código te va a dar un warning porque no encontará el recordset para vaciarlo. Si envías el formulario se va el error porque el recordset sólo se ejecutará cuando se envía el formulario. Lo puedes dejar así por ahora pero ese código lo moveremos cuando acabemos.

Ahora, vamos a crear una nueva tabla para almacenar el código de seguridad que se le envía a la persona a su email. Si este código no se puede cambiar el email. Yo he hecho una tabla sencilla llamada "recordar_pass" para esto. Estos son los campos:

1- id_recordar_pass (int) - Id de la tabla, auto-incremental.
2- email_recordar_pass (varchar) - email.
3- codigo_recordar_pass (varchar) - código.
4- timestamp_recordar_pass (bigint) - Timestamp UNIX por si acaso necesitas que los códigos se venzan después de un tiempo.
5- fecha_recordar_pass (datetime) - Algo que no es necesario, pero a mí siempre me gusta almacenar la fecha cuando se almacena cualquier dato en la base de datos.

así se ve en PHPMyAdmin:

Una vez este lista la tabla podemos hacer el Insert y enviar el email. Podemos usar el insert de DW para que nos genere el código (siendo este el foro de editores web trato de usar el las funciones del editor lo más posible). Haces un Insert usando el mismo formulario que tienes en la página:

El único campo que tienes especificar es el de email. El ID se pondra automático porque es auto-incremental y los otros valores los crearemos manualmente.

Una vez creado el insert podemos borrar lo que no necesitamos. De esto:

Código php:

Ver original$editFormAction = $_SERVER['PHP_SELF'];
if (isset($_SERVER['QUERY_STRING'])) {
  $editFormAction .= "?" . htmlentities($_SERVER['QUERY_STRING']);
}
 
if ((isset($_POST["MM_insert"])) && ($_POST["MM_insert"] == "form1")) {
  $insertSQL = sprintf("INSERT INTO recordar_pass (email_recordar_pass) VALUES (%s)",
                       GetSQLValueString($_POST['email'], "text"));
 
  mysql_select_db($database_conn_pruebas_local, $conn_pruebas_local);
  $Result1 = mysql_query($insertSQL, $conn_pruebas_local) or die(mysql_error());
}

solo necesitamos esto:

Código php:

Ver original$insertSQL = sprintf("INSERT INTO recordar_pass (email_recordar_pass) VALUES (%s)",
                   GetSQLValueString($_POST['email'], "text"));
 
mysql_select_db($database_conn_pruebas_local, $conn_pruebas_local);
$Result1 = mysql_query($insertSQL, $conn_pruebas_local) or die(mysql_error());

También puedes borrar el campo oculto 'MM_insert' ya que nao lo estaremos usando.

Ahora vamos a ver si hubo un resultado del recordset del email. DW siempre crea con todo recordset la variable $totalRows_(el nombre de tu recorset) la cual contiene el número de resultados del mismos. En mi caso, mi recordset es Recordset1, osea, la variable se llama '$totalRows_Recordset1'. Si esta variable es igual a 1 sabemos que el email está en la base de datos. Yo usualmente uso la expresión, "si es mayor que cero (0') en estos casos. Sabiendo esto hacemos una condicional según lo que muestre la variable después de nuestro recordset:

Código php:

Ver original//si se envia el formulario
if(!empty($_POST['email'])){
    //se regoge la variable POST
    $colname_Recordset1 = "-1";
    if (isset($_POST['email'])) {
      $colname_Recordset1 = (get_magic_quotes_gpc()) ? $_POST['email'] : addslashes($_POST['email']);
    }
    //recorset
    mysql_select_db($database_conn_pruebas_local, $conn_pruebas_local);
    $query_Recordset1 = sprintf("SELECT * FROM usuarios WHERE email = %s", GetSQLValueString($colname_Recordset1, "text"));
    $Recordset1 = mysql_query($query_Recordset1, $conn_pruebas_local) or die(mysql_error());
    $row_Recordset1 = mysql_fetch_assoc($Recordset1);
    $totalRows_Recordset1 = mysql_num_rows($Recordset1);
    
    //si el email existe en la base de datos
    if($totalRows_Recordset1 > 0){
        
    }
    //si no existe
    else $error = 'Este email no existe en la base de datos';
}

Aquí, si la variable es mayor que 0 ejecutaremos el codigo que queramos. Si no es así almacenamos el error en una variable para mostrarla después al usuario.

Creo que hasta aquí tenemos bastante para el segundo paso. Puedes probar si todo funciona dando echo a las variables así:

Código php:

Ver original//si el email existe en la base de datos
if($totalRows_Recordset1 > 0){
    echo 'el email existe';
}
//si no existe
else echo $error = 'Este email no existe en la base de datos';

si todo está bien, se mostrarán los mensajes correspondientes.

disweb · #7 (**permalink**) 17/08/2009, 20:05

Las dos bases de datos las tengo vacías, ingresé un email en el formulario y si aparece el mensaje: "Este email no existe en la base de datos" , y también vi en phpMyAdmin y si ingresó los datos a la tabla recordar_pass

Supongo que vamos bien.

juaniquillo · #8 (**permalink**) 29/08/2009, 10:35

Por fin volví. Seguimos con esto.

Ahora que está el esqueleto mas o menos de la aplicación movemos el insert dentro del 'if'

Código php:

Ver original//si el email existe en la base dedatos
if($totalRows_Recordset1 > 0){
    
    $insertSQL = sprintf("INSERT INTO recordar_pass (email_recordar_pass) VALUES (%s)",
        GetSQLValueString($_POST['email'], "text"));
 
    mysql_select_db($database_conn_pruebas_local, $conn_pruebas_local);
    $Result1 = mysql_query($insertSQL, $conn_pruebas_local) or die(mysql_error());
}
//si no existe
else echo $error = 'Este email no existe en la base de datos';

Ahora vamos a usar la función rand() para crear el número que vamos a asociar al usuario. rand() lo que hace es crear un número aleatorio. Lo vamos a crear de echo 10000 a 90000 para siempre tener 5 números. Este número lo guardamos en la variable $numero_secreto:

Código php:

Ver original$numero_secreto = rand(10000, 90000);

También usaremos la función time() la devuelve el 'timestamp unix'. Esto lo usaremos para darle un límite de tiempo a nuestro código secreto. Al time le sumaremos una semana. Esto se hace así:

Código php:

Ver original$timestamp = time() + (7 * 24 * 60 * 60);

Así el usuario tendrá una semana para poder cambiar su password. Lo otro que yo recomiendo guardar es la fecha en que se realizo el insert. Eso lo hacemos usando date() :

Código php:

Ver original$fecha = date('Y-m-d');

Ahora, añadimos las variables al insert. Usamos el sprintf() que ha sido creado por DW. También usaremos la variable $error para para mostrar un error diferente cuando no se haya escrito nada en el encanillado. Hasta Hasta ahora nuestro script se ve así:

Código php:

Ver original//si se envia el formulario
if(!empty($_POST['email'])){
    //se regoge la variable POST
    $colname_Recordset1 = "-1";
    if (isset($_POST['email'])) {
      $colname_Recordset1 = (get_magic_quotes_gpc()) ? $_POST['email'] : addslashes($_POST['email']);
    }
    //recorset
    mysql_select_db($database_conn_pruebas_local, $conn_pruebas_local);
    $query_Recordset1 = sprintf("SELECT * FROM usuarios WHERE email = %s", GetSQLValueString($colname_Recordset1, "text"));
    $Recordset1 = mysql_query($query_Recordset1, $conn_pruebas_local) or die(mysql_error());
    $row_Recordset1 = mysql_fetch_assoc($Recordset1);
    $totalRows_Recordset1 = mysql_num_rows($Recordset1);
    
    //si el email existe en la base dedatos
    if($totalRows_Recordset1 > 0){
        //numero secreto
        $numero_secreto = rand(10000, 90000);
        //timestamp
        $timestamp = time() + (7 * 24 * 60 * 60);
        //fecha
        $fecha = date('Y-m-d');
        //insert a la tabla del numero secreto
        $insertSQL = sprintf("INSERT INTO recordar_pass (email_recordar_pass,codigo_recordar_pass,timestamp_recordar_pass,fecha_recordar_pass) VALUES (%s,%s,%s,%s)",
            GetSQLValueString($_POST['email'], "text"),
            GetSQLValueString($numero_secreto, "int"),
            GetSQLValueString($timestamp, "int"),
            GetSQLValueString($fecha, "date"));
 
        mysql_select_db($database_conn_pruebas_local, $conn_pruebas_local);
        $Result1 = mysql_query($insertSQL, $conn_pruebas_local) or die(mysql_error());
    }
    //si no existe
    else $error = 'Este email no existe en la base de datos';
}
//si el formulario esta vacio
else $error = 'Por favor escriba su email';

El error se muestra encima del formulario:

Código php:

Ver original<?php 
//si hay error se muestra
if(!empty($error)) echo $error; 
?>
<form id="form1" name="form1" method="POST" action="<?php echo $editFormAction; ?>">
  <table border="0" cellpadding="5" cellspacing="1" bgcolor="#999999">
    <tr>
      <td bgcolor="#CCCCCC">email</td>
      <td bgcolor="#FFFFFF"><input type="text" name="email" id="email" /></td>
    </tr>
    <tr>
      <td colspan="2" bgcolor="#FFFFFF"><div align="center">
        <input type="submit" name="button" id="button" value="enviar" />
      </div></td>
    </tr>
  </table>
  </form>

Lo próximo es enviar el email, pero primero verifica que todo esté funcionando hasta aquí.

disweb · #9 (**permalink**) 01/09/2009, 19:57

He revisado el código línea a línea y me parece tenerlo igual que vos, y al ejecutarlo me aparece en el navegador:

Column 'email_recordar_pass' cannot be null

juaniquillo · #10 (**permalink**) 02/09/2009, 09:34

eso pasa porque la columa de 'email_recordar_pass' de la tabla 'recordar_pass' la tienes como 'NOT NULL'. En la imagen que te puse de MySQL puedes ver que estoy usando 'NULL'.

By juaniquillo

disweb · #11 (**permalink**) 02/09/2009, 18:46

Muy bien, lo he cambiado igual a la foto, ahora me sale el formulario y una advertencia

La línea 118 es la que marco a continuación en negro, esto está al final de todo lo que tengo en HTML:

</form>
</body>
</html>
<?php
mysql_free_result($Recordset1);
?>

Te agradezco el tiempo que te tomás en ésto Juaniquillo.

juaniquillo · #12 (**permalink**) 03/09/2009, 14:24

puedes borrar la linea:

Código php:

Ver original<?php
mysql_free_result($Recordset1);
?>

La podremos al final en su lugar cuando terminemos con esa página.

disweb · #13 (**permalink**) 03/09/2009, 19:06

Ok, se lo quité y funciona bien. Aquí vamos.

juaniquillo · #14 (**permalink**) 04/09/2009, 14:18

perfecto, cuando llegue a casa terminamos el tuto.

juaniquillo · #15 (**permalink**) 05/09/2009, 11:00

Primero que nada, lo mejor es hacer unos cambios al sistema de error. En vez de:

lo mejor es poner:

Código php:

Ver originalif(isset($_POST['email']) && !empty($_POST['email']))

Igual abajo.

Código php:

Ver originalelseif(isset($_POST['email']) && empty($_POST['email'])) $error = 'Por favor escriba su email';

Así php primero vera si la variable está seteada y luego si está vacía. Tambié creo que el número secreto debería ser mas seguro, así que ambien le agregué el timestamp a la variable:

Código php:

Ver original//timestamp
$timestamp = time() + (7 * 24 * 60 * 60);
//numero secreto
$numero_secreto = $timestamp.'-'.rand(10000, 90000);
//fecha
$fecha = date('Y-m-d');

Ahora si, seguimos. Yo siempre uso la librería phpMailer para el envío de emails, pero como eso ya es mas complicado usaremos la funcion mail() de php.

Debo recordarte que necesitas un servidor SMTP para poder enviar emails desde tu servidor, osea, que si no tienes instalado uno en tu servidor local no podrás probar este sistema. Si has contratado un servidor remoto lo más seguro tiene un servidor SMTP. Si es así mejor has las pruebas en ese servidor.

Ahora, Necesitaremos las siguientes variables:

Código php:

Ver original////// se envia el email
//email donde se enviara el mensaje
$hacia_email = $_POST['email'];
//email de donde sale el mensaje
$email_desde = "[email protected]";
//titulo del mensaje
$titulo_mensaje = 'Mensaje enviado desde mipagina.com';
//mensaje
$mensaje = "Para cambiar su password haga click aqu&iacute;:<br />
<a href=\"http://mipagina.com/nuevo_pass.php?id=$numero_secreto\">http://mipagina.com/nuevo_pass.php?id=$numero_secreto</a><br />
";
$headers  = 'MIME-Version: 1.0' . "\r\n";
$headers .= 'Content-type: text/html; charset=iso-8859-1' . "\r\n";
$headers .= 'From: '.$email_desde."\r\n";
$headers .= 'Reply-To: '.$email_desde."\r\n";

En la variable '$email_desde' necesitas poner el email de donde quieres que salga el mensaje, el cual será el mismo al que se le podrá dar reply. También puedes cambiar el título del mensaje como el mensaje, pero necesitas enviar la dirección donde la persona cambiará su password. Entonces al final se envía el email. Si no se pudo enviar se muestra un error y si se pudo enviar le damos a la variable '$enviado' el valor de TRUE para no mostrar el formulario:

Código php:

Ver original//enviar email
if(mail($hacia_email, $titulo_mensaje, $mensaje, $headers)) $enviado = TRUE;
else $error = 'Hubo un erro al enviar el mensaje.';

De nuevo, vas a recibir este error si no tienes un servidor SMTP instalado:

Código HTML:

Warning: mail() [function.mail]: Failed to connect to mailserve...

Ahora te dejo el código completo:

Código php:

Ver original//si se envia el formulario
if(isset($_POST['email']) && !empty($_POST['email'])){
    //se regoge la variable POST
    $colname_Recordset1 = "-1";
    if (isset($_POST['email'])) {
      $colname_Recordset1 = (get_magic_quotes_gpc()) ? $_POST['email'] : addslashes($_POST['email']);
    }
    //recorset
    mysql_select_db($database_conn_pruebas_local, $conn_pruebas_local);
    $query_Recordset1 = sprintf("SELECT * FROM usuarios WHERE email = %s", GetSQLValueString($colname_Recordset1, "text"));
    $Recordset1 = mysql_query($query_Recordset1, $conn_pruebas_local) or die(mysql_error());
    $row_Recordset1 = mysql_fetch_assoc($Recordset1);
    $totalRows_Recordset1 = mysql_num_rows($Recordset1);
    
    //si el email existe en la base dedatos
    if($totalRows_Recordset1 > 0){
        //timestamp
        $timestamp = time() + (7 * 24 * 60 * 60);
        //numero secreto
        $numero_secreto = $timestamp.'-'.rand(10000, 90000);
        //fecha
        $fecha = date('Y-m-d');
        //insert a la tabla del numero secreto
        $insertSQL = sprintf("INSERT INTO recordar_pass (email_recordar_pass,codigo_recordar_pass,timestamp_recordar_pass,fecha_recordar_pass) VALUES (%s,%s,%s,%s)",
            GetSQLValueString($_POST['email'], "text"),
            GetSQLValueString($numero_secreto, "int"),
            GetSQLValueString($timestamp, "int"),
            GetSQLValueString($fecha, "date"));
 
        mysql_select_db($database_conn_pruebas_local, $conn_pruebas_local);
        $Result1 = mysql_query($insertSQL, $conn_pruebas_local) or die(mysql_error());
        
        ////// se envia el email
        //email donde se enviara el mensaje
        $hacia_email = $_POST['email'];
        //email de donde sale el mensaje
        $email_desde = "[email protected]";
        //titulo del mensaje
        $titulo_mensaje = 'Mensaje enviado desde mipagina.com';
        //mensaje
        $mensaje = "Para cambiar su password haga click aqu&iacute;:<br />
        <a href=\"http://mipagina.com/nuevo_pass.php?id=$numero_secreto\">http://mipagina.com/nuevo_pass.php?id=$numero_secreto</a><br />
        ";
        $headers  = 'MIME-Version: 1.0' . "\r\n";
        $headers .= 'Content-type: text/html; charset=iso-8859-1' . "\r\n";
        $headers .= 'From: '.$email_desde."\r\n";
        $headers .= 'Reply-To: '.$email_desde."\r\n";
        
//enviar email
if(mail($hacia_email, $titulo_mensaje, $mensaje, $headers)) $enviado = TRUE;
else $error = 'Hubo un erro al enviar el mensaje.';
        
    }
    //si no existe
    else $error = 'Este email no existe en la base de datos';
}
//si el formulario esta vacio
elseif(isset($_POST['email']) && empty($_POST['email'])) $error = 'Por favor escriba su email';

y el formulario con los cambios:

Código php:

Ver original<?php 
//si se ha enviado el email
if($enviado != TRUE){
//si hay error se muestra
if(!empty($error)) echo $error; 
?>
<form id="form1" name="form1" method="POST" action="">
  <table border="0" cellpadding="5" cellspacing="1" bgcolor="#999999">
    <tr>
      <td bgcolor="#CCCCCC">email</td>
      <td bgcolor="#FFFFFF"><input name="email" type="text" id="email" value="<?php echo((isset($_POST["email"]))?$_POST["email"]:"") ?>" /></td>
    </tr>
    <tr>
      <td colspan="2" bgcolor="#FFFFFF"><div align="center">
        <input type="submit" name="button" id="button" value="enviar" />
      </div></td>
    </tr>
  </table>
  </form>
<?php 
}else{?>
<p>El mensaje ha sido enviado correctamente</p>
<?php } ?>

Lo que queda es hacer la página que recibe al usuario y donde puede cambiar su password. Te sugiero que si vas a enviar emails los envíes desde el domain que usas en el email de salida o habrá la posibilidad de que tu IP se incluido en alguna lista de spam.

Bueno, espero que puedas probar el código. Me dices si tienes algún problema

disweb · #16 (**permalink**) 08/09/2009, 21:18

Me va funcionando Juaniquillo, no tengo ningún problema. Continuemos, por favor.

juaniquillo · #17 (**permalink**) 09/09/2009, 12:30

Bien. Cuando llegue a casa seguimos.

disweb · #18 (**permalink**) 14/09/2009, 18:35

Hola Juaniquillo, ¿aún no llegas? :)
Espero la continuación, gracias.

kaiseer · #19 (**permalink**) 14/09/2009, 21:33

YO igual, justo lo que necesitaba..!!! todo bien hasta ahora.. gracias juan..

juaniquillo · #20 (**permalink**) 19/09/2009, 13:06

Lo siento chicos. Como siempre, la cantidad exorbitante de trabajo que tengo no me había dejado entrar al foro.

Antes de empezar, me di cuenta que el número secreto no se estaba almacenando correctamente en la base de datos. Debería ser el Timestamp, guión y el número. El problema está que el campo esta siendo validado como integer, no como text. En la página que hicimos hagan un cambio en el insert, en la parte que dice:

Código php:

Ver originalGetSQLValueString($numero_secreto, "int"),

cámbienla por:

Código php:

Ver originalGetSQLValueString($numero_secreto, "text"),

El campo 'codigo_recordar_pass' en la base de datos también tiene que ser 'varchar', aunque yo ya lo tenía así.

Lo que nos queda es crear la página 'nuevo_pass.php'. En mi ejemplo yo la cree en la raiz de mi website ya que ahí estoy enviando al usuario (mipagina.com/nuevo_pass.php). Ahora tenemos que recibir la variable enviada desde el email y verificar si existe. Para eso las funciones de DW nos sirven. Creamos un recordset para recibir la variable id:

Después hacemos un formulario donde el usuario pueda poner su nueva contraseña si el id es correcto:

y lo mostramos si el recordset no está vacío. Para esto escogemos el formulario. yo uso el 'code inspector' para tener más precisión:

Una ves escogido el formulario vamos al tab de 'Data' y escogemos 'show if recordset not empty':

Solo tenemos un recordset en la página así que escogemos ese y le damos ok. Ahora podemos mostrar un mensaje cuando el recorset esté vacío. Para eso escribimos el mensaje, lo escogemos y hacemos lo que hicimos arriba, pero esta vez escogemos 'show if recordset empty'. En mi caso se ve así:

Ahora pueden probar lo que tenemos. Si ven la página sola saldrá el mensaje. Si le agregan '?id=codigosecreto' (sustituyan 'numero secreto' por uno de la base de datos. Un ejemplo:

Código:

nuevo_pass.php?id=1253988188-59617

Así se mostrará el formulario.

Ahora, podemos hacer el update fácilmente con este formulario pero creo que debemos hacerlo mas seguro para que nadie haga un update directo (llámenme paranoico). Creamos algunos campos ocultos con información del recordset. son estos: email y número secreto:

Código html:

Ver original<input type="hidden" name="timestamp" id="timestamp" />
<input type="hidden" name="email" id="email" />
<input type="hidden" name="numerosecreto" id="numerosecreto" />

Ahora arrastramos los valores del recordset a su respectivos respectivos campos:

También, al campo de donde el usuario escribirá la contraseña yo la llamo 'password'. Entonces hacemos el update a la tabla de usuario para después alterarlo un poco:

Ponen al campo pass de la base de datos igual al campo password del formulario y al campo email de la base de datos igual al campo email del formulario. También escojan email como' primary key'. También envíen al usuario a otra pagina cuando se haga el update, En esa página se puede poner un mensaje de confirmación:

Ya con esto sólo el sistema funciona. Lo próximo es hacer unas modificaciones al update para hacerlo un poco mas seguro.

------------------------------------------------

(El próximo cambio es por si acaso están encryptando la contraseña usando md5. NO LO HAGAN SI NO ESTAN USANDO MD5 AL MOMENTO DE ALMACENAR LA CONTRASEÑA POR PRIMERA VEZ!!!)

No se si están usando md5 para encryptar sus contraseñas (algo bastante recomendable), pero por si acaso les digo donde hacerlo. Cambien:

Código php:

Ver originalGetSQLValueString($_POST['password'], "text"),

por:

Código php:

Ver originalGetSQLValueString(md5($_POST['password']), "text"),

------------------------------------------------

En el próximo y último mensaje haré unos cambios al update para hacerlo más seguro. Me dicen si tienen algún problema hasta ahora.

disweb · #21 (**permalink**) 21/09/2009, 13:17

Vamos bien amigo, ciertamente tus explicaciones son bien claras, se te agradece sobremanera.