Jest zbyt wiele błędów w twoim kodzie i bardzo trudno będzie znaleźć rozwiązanie poprzez naprawienie tego, co masz teraz.
Po pierwsze, MD5 nie jest już uważany za bezpieczny do przechowywania haseł.
Skonsultuj się:
- https://security.stackexchange.com/questions/ 19906/is-md5-uznany za niezabezpieczony
- https://en.wikipedia.org/wiki/MD5
Poza tym nie używasz prawidłowo przygotowanych wyciągów.
- Skonsultuj się:http://php.net/manual/en/mysqli. przygotowanie.php
Jak już wspomniałem, mysqli_escape_string() funkcja wymaga podania połączenia z bazą danych jako pierwszego parametru:
Zrób sobie przysługę i użyj tego, jednej z odpowiedzi ircmaxell https://stackoverflow.com/a/29778421/
Wyciągnął z jego odpowiedzi:
Po prostu skorzystaj z biblioteki. Na serio. Istnieją z jakiegoś powodu.
- PHP 5.5+:użyj
password_hash() - PHP 5.3.7+:użyj
password-compat(pakiet zgodności dla powyższych) - Wszystkie inne:użyj phpass
Nie rób tego sam. Jeśli tworzysz własną sól, ROBIESZ TO NIEPRAWIDŁOWO . Powinieneś używać biblioteki, która zrobi to za Ciebie.
$dbh = new PDO(...);
$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);
$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);
A przy logowaniu:
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}
