qualcuno mi sa spiegare perché una volta che l utente si è iscritto e registrato con username e relativa password criptata con sha1()... al momento del login lo lascia accedere anche se inserisce una password a casaccio??
vi posto qui il codice del log-in:

<?php//connessione e selezione del database
$connessione=mysql_connect("localhost","root","roo t");
mysql_select_db("sito",$connessione);


//definisco la query di controllo
$query=strtolower("SELECT users.password FROM users WHERE users.username='{$_REQUEST["username"]}' ");

//eseguo la query
$risultato=mysql_query($query,$connessione);




//acquisisco username e password che mi serviranno più avanti
$username=$_REQUEST["username"];
$password=sha1('$_REQUEST["password"]');


if($risultato==true)
{
//acquisisco il risultato e lo assegno ad una variabile
$riga=mysql_fetch_array($risultato);
$passwordcontrollo=$riga["password"];
mysql_close($connessione);


//eseguo il controllo
if($password===$passwordcontrollo)
{
//inizializzo la sessione
session_start();

//assegno alla variabile superglobale un valore per le altre pagine
$_SESSION['username']=$username;
// Reindirizzare con un ritardo di 1 secondo:
header('Refresh: 1; url=http://localhost:8888/Sito/homepage.php');
echo 'Reindirizzamento alla home-page';

}
else
{
echo"<p>Login fallito!</p>";
}
}
else{
echo"query errata";
}


?>


in qualsiasi caso mi lascia accedere...