我很确定这段代码有问题:
$sql="select * from user where username={$_POST['username']}AND pwd= {$_POST['password']}";
$r = mysqli_query($link,$sql);
if($r)
{
$_SESSION['loggedin']=true;
echo "Welcome". $_POST['username'];
}
答案 0 :(得分:5)
是的,您接触到SQL注入。请了解有关预先准备的陈述。
此外,您显然以纯文本格式存储密码。这是一个安全风险,因为如果您的数据库被暴露(由于SQL注入攻击,例如,咳嗽),您的所有密码都可能被泄露。
一些链接: