Tach!
Solcher Code:
$pw = getPasswordHash($_POST['password']; mysqli_query($conn, "SELECT userid FROM users WHERE username='$_POST[username]' AND passwordhash='$pw'");
war schon auf vielen Seiten das Einfallstor für Hacker.
Die haben dann so lustige Namen wie admin' --
, womit das Passwort dann keine Rolle mehr spielt.
dedlfix.