使用PDO代替这些方法中的任何一种。它将允许您使用参数而不是字符串。
$sth = $dbh->prepare('SELECt * FROM users WHERe username = :username AND password = :password LIMIT 1');$sth->bindParam(':username', $username, PDO::PARAM_STR);$sth->bindParam(':password', $password, PDO::PARAM_STR);$sth->execute();顺便说一句,请确保不要同时使用纯文本密码。
