SQL Injection ใช้ mysql_real_escape_string() ช่วย

md5() ช่วยตรง password

$password = md5($_POST[‘password’]);
จะใส่อะไรมามันก็ md5 จากนั้นก็เอาไปเทียบกับ password ที่ถูก md5 ไว้แล้วได้เลย
$sql = “select * from users where username = ‘$username’ and password = ‘$password'”;

แต่ก็จะเหลือตรง username ที่ยังเป็นช่องโหว่ได้อยู่..