初级：

密码用md5加密，然后直接进入数据库查询；

$result && mysql_num_rows( $result ) == 1  mysql_query() 在执行成功时返回 TRUE ，出错时返回 FALSE 。非FALSE 的返回值意味着查询是合法的并能够被服务器执行。这并不说明任何有关影响到的或返回的行数。很有可能一条查询执行成功了但并未影响到或并未返回任何行。 所以当查询成功，要调用mysql_num_rows() 来查看对应于 SELECT语句返回了多少行 才能确保查询到记录；

中级：

对于输入的用户名和密码做了一个转义函数；$user = mysql_real_escape_string( $user ); $pass = mysql_real_escape_string( $pass ); 

mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符；

高级：

对于输入的用户名和密码做了如下处理：

 $user = stripslashes( $user );

 $user = mysql_real_escape_string( $user ); 

stripslashes() 函数删除由  函数添加的反斜杠。返回已剥离反斜杠的字符串；该函数可用于清理从数据库中或者从 HTML 表单中取回的数据。