我很确定这段代码有问题:
$sql="select * from user where username={$_POST['username']}AND pwd= {$_POST['password']}";
$r = mysqli_query($link,$sql);
if($r)
{
$_SESSION['loggedin']=true;
echo "Welcome". $_POST['username'];
}
是的,您接触到SQL注入.请了解preapred语句.
此外,您显然以纯文本形式存储密码.这是一个安全风险,因为如果您的数据库被暴露(由于SQL注入攻击,例如,咳嗽),您的所有密码都可能被泄露.
一些链接: