Sto "aggiornando" il mio vecchio sistema di login che ancora usava mysql_connect per una connessione mysqli
Il primo step è superato, però vorrei un parere sulla sicurezza.
Codice PHP:
$username = htmlspecialchars($_POST['username'], ENT_QUOTES);
$password = sha1($_POST['password']);
$qwt = "SELECT * FROM utenticliente WHERE username =?";
$stmt = $connessione->prepare($qwt);
$stmt->bind_param("s", $username);
$stmt->execute();
$result = $stmt->get_result();
Nella precedente versione per sicurezza la query era:
codice:
"SELECT * FROM utenticliente WHERE username ='" . mysql_real_escape_string($username) . "'"
Quindi secondo voi anche senza il mysql_real_escape_string è comunque abbastanza sicuro? potrei fare altro?
Grazie
Sonia