Credo si debba aggiungere la questione della sicurezza, non so se pulisci le variabili in entrata prima di eseguire la query, per evitare la sql injection, ovvero dare la possibilità di manipolare la stringa sql permettendo il reperimento dei dati dati sensibili nel database o di aggirare il tuo sistema di login.
Ti faccio un esempio, prova ad inserire nel modulo di login un utente inesistente e come password la seguente stringa:
dovrebbe crearti la sessione ugualmente, sempre che tu non abbia pulito l' inputcodice:' and 1='1
Rispondi quotando
