Há muitas coisas erradas com seu código e será extremamente difícil fornecer uma solução corrigindo o que você tem agora.
Em primeiro lugar, o MD5 não é mais considerado seguro para armazenamento de senhas.
Consultar:
- https://security.stackexchange.com/questions/ 19906/is-md5-considerado-inseguro
- https://en.wikipedia.org/wiki/MD5
Além disso, você não está usando instruções preparadas corretamente.
Como eu disse, o
mysqli_escape_string() A função requer que uma conexão de banco de dados seja passada como o primeiro parâmetro:Faça um favor a si mesmo e use isso, uma das respostas do ircmaxell https://stackoverflow.com/a/29778421/
Extraído de sua resposta:
Basta usar uma biblioteca. Seriamente. Eles existem por uma razão.
- PHP 5.5+:use
password_hash() - PHP 5.3.7+:use
password-compat(um pacote de compatibilidade acima) - Todos os outros:use phpass
Não faça você mesmo. Se você está criando seu próprio sal, VOCÊ ESTÁ FAZENDO ERRADO . Você deve estar usando uma biblioteca que lida com isso para você.
$dbh = new PDO(...);
$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);
$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);
E no login:
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}
