สิ่งที่ทุกคนต้องรู้ ในการเขียนโปรแกรมด้วย PHP กับ MySQL หากไม่อยากให้ระบบที่เขียนนั้นถูก HACK ได้ !!!

$sql = "SELECT * FROM `member` WHERE `username` = '$_POST[username]' AND `password` = '$_POST[password]'";
$result = mysql_query($sql);
if (!$result) {
    die(mysql_error());
}
$user = mysql_fetch_array($result);

username: cookiephp
password: 0123456789

username: cookiephp
password: -_-'

You have an error in your SQL syntax; check the manual that corresponds to your
MySQL server version for the right syntax to use near ''-_-''

username: cookiephp
password: ' OR username = 'cookiephp' AND TRUE <> '

$_POST['username'] = mysql_real_escape_string($_POST['username']);
$_POST['password'] = mysql_real_escape_string($_POST['password']);
$sql = "SELECT * FROM `member` WHERE `username` = '$_POST[username]' AND `password` = '$_POST[password]'";

// ไม่ต้องมีการกำหนดค่าลงตัวแปรก่อนนำไปใช้
// ลดขั้นตอนการทำงานของ PHP ลง
// ประหยัดหน่วยความจำ
$sql = "SELECT * FROM `member` WHERE `username` = '"
    . mysql_real_escape_string($_POST['username'])
    . "' AND `password` = '"
    . mysql_real_escape_string($_POST['password'])
    . "'";

echo sprintf('I am %s years old.', 10);
// %s คือจุดที่จะแทนที่ด้วยค่าอื่น ในที่นี้คือ 10 จะได้ผลเป็น
// I am 10 years old.

echo sprintf('I have %s brothers and %s sisters.', 2, 4);
// ค่าแทนที่มากกว่า 1 ค่า
// I have 2 brothers and 4 sisters.

echo sprintf('<div style="width: %s%%">Hello World</div>', 50);
// %% จะกลายเป็น %
// <div style="width: 50%">Hello World</div>

sql = sprintf(
    "SELECT * FROM `member` WHERE `username` = '%' AND `password` = '%s'",
    mysql_real_escape_string($_POST['username']), // %s ตัวที่หนึ่ง
    mysql_real_escape_string($_POST['password'])  // %s ตัวที่สอง
);

$sql = sprintf(
    "
    INSERT INTO `members`
    (`id`, `username`, `password`, `first_name`, `last_name`)
    VALUES
    ('', '%s', '%s', '%s', '%s')
    ",
    mysql_real_escape_string($_POST['username']),   // %s ตัวที่ 1
    mysql_real_escape_string($_POST['password']),   // %s ตัวที่ 2
    mysql_real_escape_string($_POST['first_name']), // %s ตัวที่ 3
    mysql_real_escape_string($_POST['last_name'])   // %s ตัวที่ 4
);

$sql = sprintf(
    "
    UPDATE `members`
    SET
        `username`   = '%s',
        `password`   = '%s',
        `first_name` = '%s',
        `last_name`  = '%s'
    WHERE `id` = '%s'
    LIMIT 1
    ",
    mysql_real_escape_string($_POST['username']),   // %s ตัวที่ 1
    mysql_real_escape_string($_POST['password']),   // %s ตัวที่ 2
    mysql_real_escape_string($_POST['first_name']), // %s ตัวที่ 3
    mysql_real_escape_string($_POST['last_name']),  // %s ตัวที่ 4
    mysql_real_escape_string($_POST['id'])          // %s ตัวที่ 5
);