##
别人账号表单中填写 ' or 1=1 /* 密码随便填 那么那条sql就成了where username='' or 1=1 条件成立,登录成功 可以多一步,先取账号, 账号通过后再对比账号 $sql ="select username password from user where username=" .$user; if($sql && $sql["password"]==$pas){ }
你把sql語句改成
"SELECT username,password FROM user WHERE username=".$user." ADN password =".$psw;
建議重新學習字串拼接,與單引號與雙引號的差別。
你在php中文網 右上角的搜尋框中搜尋一下 相關教學吧
## 
别人账号表单中填写 ' or 1=1 /* 密码随便填 那么那条sql就成了where username='' or 1=1 条件成立,登录成功 可以多一步,先取账号, 账号通过后再对比账号 $sql ="select username password from user where username=" .$user; if($sql && $sql["password"]==$pas){ }
#你把sql語句改成
建議重新學習字串拼接,與單引號與雙引號的差別。
你在php中文網 右上角的搜尋框中搜尋一下 相關教學吧