我使用以下代码在mysqli_escape_string($hash));的最后一行收到错误:
$hash = md5( rand(0,1000) );
$stmt = $mysqli->prepare("INSERT INTO users (username, password, hash) VALUES (?, ?, mysqli_escape_string($hash))");
$password = md5($password);
$stmt->bind_param('ss', $username, $password, mysqli_escape_string($hash));
它说,mysqli_escape_string($hash))是一个非对象。
但仅使用$hash代替
有人可以帮忙吗?
答案 0 :(得分:3)
您的代码存在太多问题,并且通过修复您现有的内容来提供解决方案非常困难。
首先,MD5不再被认为可以安全地用于密码存储。
请教:
另外,您没有正确使用准备好的陈述。
正如我所说,mysqli_escape_string()函数需要将数据库连接作为第一个参数传递:
帮自己一个忙并使用这个,ircmaxell的答案https://stackoverflow.com/a/29778421/
从他的回答中拉出来:
只需使用图书馆。认真。它们存在是有原因的。
password_hash() password-compat(上面的兼容包)不要自己动手。如果你正在创造自己的盐,你做错了。你应该使用一个为你处理这个问题的库。
$dbh = new PDO(...);
$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);
$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);
登录时:
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}
答案 1 :(得分:2)
您的代码应为
$hash = md5( rand(0,1000) );
$stmt = $mysqli->prepare("INSERT INTO users (username, password, hash) VALUES (?, ?, ?)");
$password = md5($password);
$stmt->bind_param('sss', $username, $password, $hash);
您无需使用参数化查询进行转义。
您遇到的问题,escape函数不正确您在使用OO方法时需要具有该函数的对象。
$mysqli->real_escape_string($hash);
本来就是你想要的。
您还会再次绑定该值,但会抛出错误并且未在传递的变量类型中设置它。
包含一个或多个字符的字符串,用于指定相应绑定变量的类型。
所以
$stmt->bind_param('ss', $username, $password, mysqli_escape_string($hash));
应该有三个字符串,因为有三个字符串,不需要转义。
此外,md5密码不再是最佳做法,请查看:
Secure hash and salt for PHP passwords
https://security.stackexchange.com/questions/19906/is-md5-considered-insecure