Sử dụng PDO thay vì một trong hai cách tiếp cận này. Nó sẽ cho phép bạn sử dụng các tham số thay vì các chuỗi.
$sth = $dbh->prepare('SELECT * FROM users WHERE username = :username AND password = :password LIMIT 1');
$sth->bindParam(':username', $username, PDO::PARAM_STR);
$sth->bindParam(':password', $password, PDO::PARAM_STR);
$sth->execute();
Nhân tiện, hãy đảm bảo rằng bạn không đồng thời sử dụng mật khẩu ở dạng văn bản thuần túy.