PHP和Mysql登录功能防止SQL注入

最近在了解SQL注入，发现很多人登录功能都是同时使用用户输入的username和password，组合到一条sql语句里面，查询判断有无结果来判定是否可登录。例如下面：

1. <?php  
   $username = $_POST[&#39;username&#39;];  
   $password = $_POST[&#39;password&#39;];  
   $sql = "select * from user where username=&#39;{$username}&#39; and password=&#39;{$password}&#39; ";  
   $this->db->query($sql);

这样很容易在 username参数加入 ‘ or 1=1 -- 注入，虽然这只是示例，但现在很多使用框架，一不注意，最终组合成的语句也是类似这样的。这里不说输入参数过滤、参数绑定，语法分析等常用办法去应对SQL注入，我们可以转变一下判断方法：

1. <?php  
   $username = $_POST[&#39;username&#39;];  
   $password = $_POST[&#39;password&#39;];  
   $sql = "select * from user where username=&#39;{$username}&#39; ";  
   $data = $this->db->query($sql);  
     
   ......  
     
   if($data[&#39;password&#39;] == $password){  
       //密码OK  
   }else{  
       //密码错误  
   }

这样先查到数据，再用php本身来判断是否匹配密码，是不是解决了问题了？

相关推荐：

推荐10个防止sql注入方法

以上是PHP和Mysql登录功能防止SQL注入的详细内容。更多信息请关注PHP中文网其他相关文章！