Il y a beaucoup trop de problèmes avec votre code et il sera extrêmement difficile de fournir une solution en corrigeant ce que vous avez maintenant.
Premièrement, MD5 n'est plus considéré comme sûr à utiliser pour le stockage des mots de passe.
Consulter :
- https://security.stackexchange.com/questions/ 19906/est-md5-considéré-non sécurisé
- https://en.wikipedia.org/wiki/MD5
De plus, vous n'utilisez pas correctement les instructions préparées.
- Consultez :http://php.net/manual/en/mysqli. prepare.php
Comme je l'ai dit, le mysqli_escape_string() la fonction nécessite qu'une connexion à la base de données soit transmise en tant que premier paramètre :
Faites-vous une faveur et utilisez ceci, l'une des réponses d'ircmaxell https://stackoverflow.com/a/29778421/
Extrait de sa réponse :
Utilisez simplement une bibliothèque. Sérieusement. Ils existent pour une raison.
- PHP 5.5+ :utilisez
password_hash() - PHP 5.3.7+ :utilisez
password-compat(un pack de compatibilité pour ci-dessus) - Tous les autres :utilisez phpass
Ne le faites pas vous-même. Si vous créez votre propre sel, VOUS LE FAITES MAL . Vous devriez utiliser une bibliothèque qui gère cela pour vous.
$dbh = new PDO(...);
$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);
$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);
Et à la connexion :
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}
