这个表单接受用户输入的用户名和密码，并将用户输入提交给名为 verify.php 的文件。
在这个文件中，PHP 处理来自登录表单的数据，如下所示：
清单 5. 不安全的 PHP 表单处理代码   
<?php  
$okay = 0;   
$username = $_POST['user'];   
$pw = $_POST['pw'];   
$sql = “select count(*) as ctr from users where username=’
”.$username.”‘ and password=’”. $pw.”‘ limit 1″;   
$result = MySQL_query($sql);   
while ($data = mysql_fetch_object($result)){   
if ($data->ctr == 1){   
//they’re okay to enter The application!   
$okay = 1;   
}   
}   
if ($okay){   
$_SESSION['loginokay'] = true;   
header(“index.php”);   
}else{   
header(“login.php”);   
}   
?>  
　　这段代码看起来没问题，对吗?世界各地成百(甚至成千)的 PHP/MySQL 站点都在使
用这样的代码。它错在哪里?好，记住 “

”

不能信任用户输入 。这里没有对来自用户的任何

信息进行转义，因此使应用程序容易受到攻击。具体来说，可能会出现任何类型的 SQL
注入攻击。例如，如果用户输入 foo 作为用户名，输入 ‘ or ’1′=’1 作为密码，那么实际上
会将以下字符串传递给 PHP，然后将查询传递给 MySQL：
<?php  
$sql = “select count(*) as ctr from users where username=
’foo’ and password=” or ’1′=’1′ limit 1″;   
?>  
　　这个查询总是返回计数值 1，因此 PHP 会允许进行访问。通过在密码字符串的末尾注
入某些恶意 SQL，黑客就能装扮成合法的用户。解决这个问题的办法是，将 PHP 的内置 
mysql_real_escape_string() 函数用作任何用户输入的包装器。这个函数对字符串中的字符进
行转义，使字符串不可能传递撇号等特殊字符并让 MySQL 根据特殊字符进行操作。清单
7 展示了带转义处理的代码。
清单 7 展示了带转义处理的代码   
<?php     
$okay = 0;     
$username = $_POST['user'];     
$pw = $_POST['pw'];     
$sql = ”select count(*) as ctr from users where username=’”.mysql_real_
_string($username).”‘ and password=’”. mysql_real_escape_string($pw).”‘