Ci sono troppe cose sbagliate nel tuo codice e sarà estremamente difficile fornire una soluzione correggendo ciò che hai ora.
Innanzitutto, MD5 non è più considerato sicuro da usare per l'archiviazione delle password.
Consulta:
- https://security.stackexchange.com/questions/ 19906/è-md5-considerato-non sicuro
- https://en.wikipedia.org/wiki/MD5
Inoltre, non stai utilizzando correttamente le istruzioni preparate.
- Consultare:http://php.net/manual/en/mysqli. prepare.php
Come ho affermato, il mysqli_escape_string() la funzione richiede che venga passata una connessione al database come primo parametro:
Fatti un favore e usa questa, una delle risposte di ircmaxell https://stackoverflow.com/a/29778421/
Tratto dalla sua risposta:
Basta usare una libreria. Sul serio. Esistono per una ragione.
- PHP 5.5+:usa
password_hash() - PHP 5.3.7+:usa
password-compat(un pacchetto di compatibilità per quanto sopra) - Tutti gli altri:usa phpass
Non farlo da solo. Se stai creando il tuo sale, STAI FACENDO SBAGLIATO . Dovresti utilizzare una libreria che se ne occupi per te.
$dbh = new PDO(...);
$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);
$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);
E al login:
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}
