salve, ho creato un'area riservata sul mio sito, ma mi sono appena accorto che è una sicurezza minima, perchè il codice non si protegge dalle sql injections.

mi potreste dare un qualche suggerimento? (il codice l'ho preso da questo sito)

login.php
Codice PHP:
<?php

//includo il file di Configurazione con session_start()) dentro
include "config.php";

$userid=trim($_POST['username']);
$pass=trim($_POST['password']);

//Eseguo una query nella tabella utenti verificando se esiste l'username con quella password. 
// codice vulnerabile...converebbe introdurre codice anti inject codes..
$query mysql_query("SELECT ac_username FROM accesso WHERE ac_username = '".$_POST['username']."' AND ac_password = '".$_POST['password']."'");
$var=mysql_num_rows($query);
//se esiste l'account registra la sessione
if($var==1)
{
    //metto l'username nella variabile di sessione "username"
    $_SESSION['username'] = $_POST['username'];
    //Faccio il redirect nella pagine enter.php
    echo "<script>
            window.location = \"enter.php\"
          </script>";
}
else
{
    //Faccio il redirect nella pagine enter.php 
    //Questa sezione può contenere l'implementazione della parte di codice relativa al login errato.
    echo "<script>
            window.location = \"enter.php\"
          </script>";
}
?>