php APIでは、 SQLインジェクション コードへの攻撃('; UPDATE users SET admin=1 WHERE username='hacker' ログインスクリプトにユーザー名として)。複数のステートメントを実行するか、ステートメントのロジックを1つのステートメントにラップする必要があります(これは、あなたの場合は不可能です)。
