Ve vašem kódu je příliš mnoho věcí špatně a bude velmi obtížné poskytnout řešení tím, že opravíte to, co máte nyní.
Za prvé, MD5 již není považováno za bezpečné pro ukládání hesel.
Konzultujte:
- https://security.stackexchange.com/questions/ 19906/is-md5-considered-insecure
- https://en.wikipedia.org/wiki/MD5
Navíc nepoužíváte připravené příkazy správně.
- Konzultujte:http://php.net/manual/en/mysqli. připravit.php
Jak jsem uvedl, mysqli_escape_string()
funkce vyžaduje, aby bylo jako první parametr předáno připojení k databázi:
Udělejte si laskavost a použijte tuto, jednu z odpovědí společnosti ircmaxell https://stackoverflow.com/a/29778421/
Převzato z jeho odpovědi:
Stačí použít knihovnu. Vážně. Existují z nějakého důvodu.
- PHP 5.5+:použijte
password_hash()
- PHP 5.3.7+:použijte
password-compat
(balíček kompatibility pro výše uvedené) - Všechny ostatní:použijte phpass
Nedělejte to sami. Pokud si vytváříte vlastní sůl, DĚLÁTE TO ŠPATNĚ . Měli byste používat knihovnu, která to zpracuje za vás.
$dbh = new PDO(...);
$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);
$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);
A při přihlášení:
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}