我的一个朋友试图对我的网站进行SQL注入,他使用下面的代码成功进入了网站。我该如何防止这种攻击?我已经了解到一些有关净化变量的内容,但是我应该怎样做呢?
';INSERT INTO login (username, password) VALUES ('Gjertsmells', 'password');SELECT 'password' FROM Login WHERE 'x'='x
$db = new PDO('mysql:host=XXXXXXXX;dbname=XXXXXXX', 'XXXXXXXXXX', 'XXXXXXXXX');
// query MySQL to verify login
$query = $db->prepare("SELECT password FROM login WHERE username='$username'");
$query->execute();
$column = $query->fetchColumn();
if($column === $password)