PHP的-单引号或双引号围绕SQL查询？

使用PDO代替这些方法中的任何一种。它将允许您使用参数而不是字符串。

$sth = $dbh->prepare('SELECt * FROM users WHERe username = :username AND password = :password LIMIT 1');$sth->bindParam(':username', $username, PDO::PARAM_STR);$sth->bindParam(':password', $password, PDO::PARAM_STR);$sth->execute();

顺便说一句，请确保不要同时使用纯文本密码。