Vâng, nó dễ bị tổn thương. Bạn đang nói các giá trị trực tiếp từ đầu vào của người dùng và đặt nó vào truy vấn của bạn.
Bạn nên xem mysql_real_escape_string hoặc (tốt hơn là) sử dụng MySQLi cung cấp các truy vấn được tham số hóa. Việc đưa vào SQL là do dữ liệu người dùng được đưa vào dưới dạng mã SQL thay vì dữ liệu. Cách đúng duy nhất để bảo mật một truy vấn là sử dụng các truy vấn được tham số hóa để phân tách dữ liệu và văn bản truy vấn ở cấp giao thức.
Hơn nữa, mật khẩu của bạn được lưu trữ ở dạng bản rõ. Bạn nên sử dụng hàm băm mặn là mức tối thiểu tuyệt đối.
Bạn cũng nên xem những câu hỏi tuyệt vời sau:
- Làm cách nào để ngăn chặn việc đưa vào SQL bằng PHP?
- Băm và muối an toàn cho mật khẩu PHP
- Hướng dẫn cuối cùng về biểu mẫu- xác thực trang web dựa trên
