PHPとMySQLのSQLインジェクションのログインページの防止

Question

以下はログインページのPHPコードです。

if(!$_POST["username"] || !$_POST["password"]) 
{ 
    echo "Username and Password fields are mandatory."; 
} 
else 
{ 
    $query="select user_id from users where user_name='".$_POST["username"]."' and password='".md5($_POST["password"])."' "; 
    ..... 
    ..... 
} 

これはSQLインジェクションの脆弱なコードだと思います。 MYSQLデータベースへのSQLインジェクションを防ぐためにこのコードで変更する必要があるのは何ですか？

私はMySQLデータベースに接続するには、次のコードを使用しています：

function connect_database() 
{ 
    $con = mysqli_connect("servername", "username", "", "dbname"); 
    if (!$con) 
    { 
     $con = ""; 
     echo("Database connection failed: " . mysqli_connect_error()); 
    } 
    return $con; 
} 

私はmysqli_prepareを使用しようとしますが、エラーを取得しています：

$unsafe_username = $_POST["username"]; 
$unsafe_password = md5($_POST["password"]); 
$query=mysqli_prepare("select user_id from users where user_name= ? and password= ? "); 
$query->bindParam("ss", $unsafe_username, $unsafe_password); 
$query->execute(); 

は、私はエラーを次しまっ：

Warning: mysqli_prepare() expects exactly 2 parameters, 1 given 

Fatal error: Call to a member function bindParam() on null 

Answer 1

クエリに入力できる文字列をエスケープしたいとします。あなたはこれを行うことができmysqliドライバを使用している考える：

$username = mysqli_real_escape_string($con, $_POST["username"]); 
$password = mysqli_real_escape_string($con, $_POST["password"]); 

$query="select user_id from users where u.user_name='".$username."' and u.password='".md5($password)."' "; 

公式ドキュメントはhere見つけることができます。 prepared statementsを使用することもできます。

Answer 2

使用準備されたステートメント、

http://php.net/manual/en/pdo.prepared-statements.php

$stmt = mysqli->prepare("select user_id from users where user_name= ? and password= ?"); 
$stmt->bindParam("ss",$username,$pass); 
$stmt->execute();