使用 mysqli_escape_string 函数时出错
Getting an error using mysqli_escape_string function
我在 mysqli_escape_string($hash)); 的最后一行使用以下代码时出错:
$hash = md5( rand(0,1000) );
$stmt = $mysqli->prepare("INSERT INTO users (username, password, hash) VALUES (?, ?, mysqli_escape_string($hash))");
$password = md5($password);
$stmt->bind_param('ss', $username, $password, mysqli_escape_string($hash));
它说,mysqli_escape_string($hash)) 是一个非对象。
但是仅使用 $hash 也无济于事
有人可以帮忙吗?
您的代码应该是
$hash = md5( rand(0,1000) );
$stmt = $mysqli->prepare("INSERT INTO users (username, password, hash) VALUES (?, ?, ?)");
$password = md5($password);
$stmt->bind_param('sss', $username, $password, $hash);
您不需要使用参数化查询进行转义。
你遇到的问题,你的 escape 函数不正确你在使用 OO 方法时需要带有函数的对象。
$mysqli->real_escape_string($hash);
本来就是你想要的。
您还再次绑定了该值,虽然这会引发错误并且没有在传递的变量类型中设置它。
A string that contains one or more characters which specify the types for the corresponding bind variables.
所以
$stmt->bind_param('ss', $username, $password, mysqli_escape_string($hash));
应该是三个's,因为有三个字符串,不需要转义。
此外,md5输入密码不再是最佳做法,请查看:
Secure hash and salt for PHP passwords
https://security.stackexchange.com/questions/19906/is-md5-considered-insecure
您的代码有太多错误,并且很难通过修复您现有的代码来提供解决方案。
首先,MD5 不再被认为可以安全地用于密码存储。
咨询:
- https://security.stackexchange.com/questions/19906/is-md5-considered-insecure
- https://en.wikipedia.org/wiki/MD5
此外,您没有正确使用准备好的语句。
如我所述,mysqli_escape_string() 函数需要将数据库连接作为第一个参数传递:
帮自己一个忙并使用这个,ircmaxell的答案之一
摘自他的回答:
就用图书馆吧。严重地。它们的存在是有原因的。
- PHP 5.5+:使用
password_hash()
- PHP 5.3.7+:使用
password-compat(上面的兼容包)
- 所有其他:使用phpass
不要自己做。如果您要创建自己的盐,您做错了。您应该使用可以为您处理的库。
$dbh = new PDO(...);
$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);
$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);
登录时:
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}
我在 mysqli_escape_string($hash)); 的最后一行使用以下代码时出错:
$hash = md5( rand(0,1000) );
$stmt = $mysqli->prepare("INSERT INTO users (username, password, hash) VALUES (?, ?, mysqli_escape_string($hash))");
$password = md5($password);
$stmt->bind_param('ss', $username, $password, mysqli_escape_string($hash));
它说,mysqli_escape_string($hash)) 是一个非对象。
但是仅使用 $hash 也无济于事
有人可以帮忙吗?
您的代码应该是
$hash = md5( rand(0,1000) );
$stmt = $mysqli->prepare("INSERT INTO users (username, password, hash) VALUES (?, ?, ?)");
$password = md5($password);
$stmt->bind_param('sss', $username, $password, $hash);
您不需要使用参数化查询进行转义。
你遇到的问题,你的 escape 函数不正确你在使用 OO 方法时需要带有函数的对象。
$mysqli->real_escape_string($hash);
本来就是你想要的。
您还再次绑定了该值,虽然这会引发错误并且没有在传递的变量类型中设置它。
A string that contains one or more characters which specify the types for the corresponding bind variables.
所以
$stmt->bind_param('ss', $username, $password, mysqli_escape_string($hash));
应该是三个's,因为有三个字符串,不需要转义。
此外,md5输入密码不再是最佳做法,请查看:
Secure hash and salt for PHP passwords
https://security.stackexchange.com/questions/19906/is-md5-considered-insecure
您的代码有太多错误,并且很难通过修复您现有的代码来提供解决方案。
首先,MD5 不再被认为可以安全地用于密码存储。
咨询:
- https://security.stackexchange.com/questions/19906/is-md5-considered-insecure
- https://en.wikipedia.org/wiki/MD5
此外,您没有正确使用准备好的语句。
如我所述,mysqli_escape_string() 函数需要将数据库连接作为第一个参数传递:
帮自己一个忙并使用这个,ircmaxell的答案之一
摘自他的回答:
就用图书馆吧。严重地。它们的存在是有原因的。
- PHP 5.5+:使用
password_hash() - PHP 5.3.7+:使用
password-compat(上面的兼容包) - 所有其他:使用phpass
不要自己做。如果您要创建自己的盐,您做错了。您应该使用可以为您处理的库。
$dbh = new PDO(...);
$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);
$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);
登录时:
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}