我读过关于 SQL 注入的内容,所以我在我的网站上进行了尝试,当然它奏效了。我们正在连接到数据库。所以这是我登录页面的 PHP 代码的一部分:
$userName = $_POST["username"];
$userPass = $_POST["password"];
$query = "SELECT * FROM users WHERE username = '$userName' AND password = '$userPass'";
$result = mysqli_query($dbc, $query); //$dbc is for MySQL connection: $dbc = @mysqli_connect($dbhost, $dbuser, $dbpass, $db)
$row = mysqli_fetch_array($result);
if(!$row){
echo "No existing user or wrong password.";
}
我一直在寻找解决方案很长时间,但我无法弄清楚如何以参数化的方式使其工作。你能帮我完成我的代码以防止 SQL 注入吗?