php - 使用 mysqli_escape_string 函数出错

Question

我在 mysqli_escape_string($hash)); 的最后一行通过使用以下代码出现错误:

$hash = md5( rand(0,1000) );
$stmt = $mysqli->prepare("INSERT INTO users (username, password, hash) VALUES (?, ?, mysqli_escape_string($hash))");
$password = md5($password);
$stmt->bind_param('ss', $username, $password, mysqli_escape_string($hash));

它说，mysqli_escape_string($hash)) 是一个非对象。但仅使用 $hash 也无济于事

有人可以帮忙吗？

Answer 1

您的代码存在太多问题，并且很难通过修复您现有的代码来提供解决方案。

首先，MD5 不再被认为可以安全地用于密码存储。

咨询:

• > https://security.stackexchange.com/questions/19906/is-md5-considered-insecure
• > https://en.wikipedia.org/wiki/MD5

另外，您没有正确使用准备好的语句。

• 咨询:http://php.net/manual/en/mysqli.prepare.php

正如我所说，mysqli_escape_string() 函数需要将数据库连接作为第一个参数传递:

• > http://php.net/manual/en/mysqli.real-escape-string.php

帮自己一个忙并使用这个，ircmaxell 的答案之一 https://stackoverflow.com/a/29778421/

摘自他的回答:

只需使用一个库。严重地。它们的存在是有原因的。

• PHP 5.5+:使用 password_hash()
• PHP 5.3.7+:使用 password-compat (上面的兼容包)
• 所有其他:使用 phpass

不要自己动手。如果您要创建自己的盐，您做错了。你应该使用一个库来为你处理。

$dbh = new PDO(...);

$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);

$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);

登录时:

$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
    if (password_verify($_POST['password'], $users[0]->password) {
        // valid login
    } else {
        // invalid password
    }
} else {
    // invalid username
}