[php] Email di conferma per attivazione utente

[Luca 88]

sto ultimando la registrazione utenti per il mio sito... e ora vorrei inserire anche la possibilità di controllare se la mail messa dall'utente sia effettivamente la sua mettendo appunto la conferma dell'email.

nella tabella (utenti) del database in easyphp ho già inserito il campo 'conf' che se è 0 non ti fa loggare ma se è 1 si...

per farvi capire dove sono vi posto il file registra.php e login.php che ho fatto...

Codice:

<?php

include("connessioneDB.php");

 $username = $_POST['username'];
 $sesso = $_POST['sesso'];
 $giorno = $_POST['giorno'];
 $mese = $_POST['mese'];
 $anno = $_POST['anno'];
 $email = $_POST['email'];
 $pass = $_POST['pass'];
 $pass2 = $_POST['pass2'];

  $query = "SELECT username FROM utenti WHERE username = '$username'"; 
  $ris = mysql_query($query, $db); 
  $num1 = mysql_num_rows($ris); 

  $query = "SELECT email FROM utenti WHERE email = '$email'"; 
  $ris = mysql_query($query, $db); 
  $num2 = mysql_num_rows($ris); 
  
  // Controllo che tutti i campi siano stati compilati
  if (($username == '') || ($sesso == '') || ($giorno == '') || ($mese == '') || ($anno == '') || ($email == '') || ($pass == '') || ($pass2 == '')) { echo "Non hai compilato tutti i campi."; }
    else {
      if (!ereg('[a-zA-Z0-9]', $username)) { echo "L'username inserito non è valido"; }
      // Controllo la lunghezza dell'username
      else {
          // Controllo che la struttura del e-mail sia [email protected]
          if (!ereg('^([a-zA-Z0-9])+([\.a-zA-Z0-9_-])*@([a-zA-Z0-9_-])+(\.[a-zA-Z0-9_-]+)*\.([a-zA-Z]{2,6})$', $_POST['email'])) { echo "L'e-mail inserita non è valida"; }
            else {
              // Controllo la lunghezza della password
              if ((strlen($pass) < '6') || (strlen($pass) > '16')) { echo "Errore lunghezza password"; } 
                else {
                  // Controllo che le password inserite corrispondano
                  if ($pass != $pass2) { echo "Password non coincidono"; }
                    else {
                      // Controllo che l'username scelto non sia già in uso
                      if ($num1 != '0') { die("Il nome utente scelto è già in uso"); } 
                        else { 
                          // Controllo che l'e-mail scelta non sia già in uso
                          if($num2 != '0') { die("L'email scelta è già in uso"); }
                            else{ 
                              // Salvo i dati del nuovo utente nel database
                              mysql_query("INSERT INTO utenti (email, username, password, nascita , sesso, data_reg) VALUES ('$email', '$username',  '".md5($pass)."', DATE('$anno/$mese/$giorno') , '$sesso', NOW())") or die (mysql_error()); 
                              echo("Registrazione avvenuta con successo!"); 
                            }
                        }
                    }
                }
            }
        }
    }

?>

login.php

Codice:

<?php

include("connessioneDB.php");

 $username = $_POST['username'];
 $pass = MD5($_POST['pass']);
 $password = 'password';
 $confermato = 'conf';


  // Query che seleziona la password del utente
  $query = "SELECT  password  FROM  utenti WHERE username  = '$username'  LIMIT    1"; 
  $result = mysql_query($query, $db);         
  $row = mysql_fetch_assoc($result); 
  $num = mysql_num_rows($result); 

  // Query che seleziona il campo confirmed del utente
  $query1 = "SELECT  conf  FROM  utenti WHERE username  = '$username'  LIMIT    1"; 
  $result1 = mysql_query($query1, $db);         
  $row1 = mysql_fetch_assoc($result1); 

  if ($result != '0'){ 
    if($row[$password] == $pass){ 
      if($row1[$confermato] == 1){ 
          session_start ();
          $_SESSION['username'] = $username;
          $_SESSION['pass'] = $pass;
          // Salvo i dati del nuovo utente nel database
          mysql_query("UPDATE utenti SET data_ultima = NOW() WHERE (username = '$username') AND (password = '$pass')") or die (mysql_error());
          if(IsSet($_SESSION['username']) && IsSet($_SESSION['pass'])) header('Location: ' . 'http://127.0.0.1/nomesito/home.html');      
            else header('Location: ' . 'http://127.0.0.1/nomesito/index.html');
        }else{ 
          die("Utente non ancora confermato");        
        }
        }else{ 
          die("Il nome utente inserito è inesistente");
        } 
        }else{ 
          die("Password errata");  
        }



?>

cosa dovrei inserire per la conferma email?

[flx2000]

Quando l'utente si registra puoi associargli una stringa casuale di tot caratteri, mettiamo 32, e la salvi nel database come ulteriore campo nel record di quell'utente.

A quell'utente mandi una mail con un link che rimandi ad uno script, ad esempio conferma.php , al quale dai due parametri: l'id dell'utente e quella stringa casuale.

Per verificare la mail usi uno script PHP che riceve quei parametri (es: conferma.php?id_utente=1&verifica=abcde).

Se al parametro id_utente che mandi nella mail corrisponde nel database la stringa che avevi previsto, allora puoi accettare la registrazione perché vuol dire che l'utente ha letto quell'email.

[euphyllia87]

Quote:

Originariamente inviato da flx2000

Quando l'utente si registra puoi associargli una stringa casuale di tot caratteri, mettiamo 32, e la salvi nel database come ulteriore campo nel record di quell'utente.

A quell'utente mandi una mail con un link che rimandi ad uno script, ad esempio conferma.php , al quale dai due parametri: l'id dell'utente e quella stringa casuale.

Per verificare la mail usi uno script PHP che riceve quei parametri (es: conferma.php?id_utente=1&verifica=abcde).

Se al parametro id_utente che mandi nella mail corrisponde nel database la stringa che avevi previsto, allora puoi accettare la registrazione perché vuol dire che l'utente ha letto quell'email.

Posso aggiungere due cose:

a) il codice è inguardabile, quella sfilza di IF/ELSE...
b) la sicurezza lascia molto a desiderare... forse è meglio che ti leggi qualche articolo inerente alla sicurezza PHP

[Luca 88]

in che senso la sicurezza lascia molto a desiderare?

ho fatto controlli sia lato client che lato server...

piu di cosi che dovrei fare?

[euphyllia87]

Quote:

Originariamente inviato da Luca 88

in che senso la sicurezza lascia molto a desiderare?

ho fatto controlli sia lato client che lato server...

piu di cosi che dovrei fare?

Stai passando delle variabili 'in chiaro' al server.
SQL Injection, session fixage, xss... quante ... quante

[Luca 88]

e per non andare incontro a tutte ste cose dovrei cambiare tutta la fase di controllo che ho fatto io? o si possono aggiungere in seguito? tipo dovrò ancora aggiungere il codice da inserire prima di iscriversi... quello che non si vede bene e l'utente deve inserire quello che c'è scritto...

[euphyllia87]

Quote:

Originariamente inviato da Luca 88

e per non andare incontro a tutte ste cose dovrei cambiare tutta la fase di controllo che ho fatto io? o si possono aggiungere in seguito? tipo dovrò ancora aggiungere il codice da inserire prima di iscriversi... quello che non si vede bene e l'utente deve inserire quello che c'è scritto...

Leggiti qualche guida sulla sicurezza PHP

[flx2000]

Ho sorvolato i concetti di sicurezza perché mi sembra che il lavoro sia mirato alla comprensione dei meccanismi.
E' chiaro che abbisogna di una pesante mano di ottimizzazioni per poter diventare un prodotto utilizzabile...
Troppi IF non fanno male, soprattutto quando si sta imparando.

[Luca 88]

Quote:

Originariamente inviato da flx2000

Quando l'utente si registra puoi associargli una stringa casuale di tot caratteri, mettiamo 32, e la salvi nel database come ulteriore campo nel record di quell'utente.

A quell'utente mandi una mail con un link che rimandi ad uno script, ad esempio conferma.php , al quale dai due parametri: l'id dell'utente e quella stringa casuale.

Per verificare la mail usi uno script PHP che riceve quei parametri (es: conferma.php?id_utente=1&verifica=abcde).

Se al parametro id_utente che mandi nella mail corrisponde nel database la stringa che avevi previsto, allora puoi accettare la registrazione perché vuol dire che l'utente ha letto quell'email.

innanzitutto grazie mille... però cosi non ci capisco molto... non mi puoi fare un esempio pratico? o darmi un link a una guida che lo spiega con degli esempi? perchè io ho l'ho trovato solo fatto su altre registrazioni e tutta la parte prima è diversa... quindi poi non mi ritrovo...