SQL選擇不與散列工作

Question

我還是新的PHP，我不明白這裏有什麼問題。我有一個PHP腳本，我使用它作爲登錄腳本（簡單的功能，因爲我仍然在學習）。我確保表單中的輸入值與mysql數據庫中的值匹配。下面的代碼是造成問題的SQL：

"SELECT `id` FROM `golden_acres_username` WHERE `uname`='$username' AND `password`='$password_hash'" 

當我改變了上面的代碼，以低於它的工作原理的一個（不同的是，我手動插入MD5哈希值）：

"SELECT `id` FROM `golden_acres_username` WHERE `uname`='$username' AND `password`='81dc9bdb52d04dc20036'" 

變量設置是：

$login_button = $_POST['login_button'];    
$username = $_POST['username']; 
$password = $_POST['password'];     
$password_hash = md5($_POST['password']); 

任何人都可以善意解釋我在這裏錯了。

Answer 1

嘗試

"SELECT `id` FROM `golden_acres_username` 
WHERE `uname`='".$username."' AND `password`='".$password_hash."'" 

Answer 2

首先，你應該尋找一個更安全的密碼哈希機制類似password_hash()

其次，你有顯著SQL注入漏洞，目前因爲你是不是沒有使用參數化準備逃離輸入聲明。

真的不值得討論解決方案，直到你至少做到了這兩者中的後者。