[php] rendere sicuro login

[miscialo]

salve ho questo login:

codice:

<?
include("../config.php");
$username=$_GET['username'];
$password=$_GET['password'];

$obj=new sast1com();
$obj->connessione();


 $query = mysql_query("SELECT * FROM utenti WHERE username='$username' and password='$password'"); 
    if(mysql_num_rows($query) != 0){
echo"Loggato";
$_SESSION['temput']=$username;
$_SESSION['temppass']=$password;
}
else echo"ERRORE NELLE CREDENZIALI DI ACCESSO";


?>

e in ogni pagina inserisco

codice:

if ((isset($_SESSION['temput']))&&(isset($_SESSION['temppass']))){

come potrei renderlo sicuro???

[filippo.toso]

Non usare lo short open tag, utilizza il tag di apertura completo.
Non usare include relativi, usa path assoluti.
Non accedere all'indice di un array senza averne verificato prima l'esistenza.
Non passare i valori in input ad una query senza averli protetti per eventiali SQL Injection.
Non usare il valore di ritormo di mysql_query() prima di aver verificato che la query sia stata eseguita correttamente.
Non salvare in sessione username/password, salva in sessione l'ID utente ed eventualmente delle informazioni "cosmetiche" (es. il nome dell'utente).

Salva in sessione dati aggiuntivi quali IP ed user agent e filtra eventuali connessioni con valori discrepanti (es. Session Hacking)

[miscialo]

non ho capito granchè... ma grazie cmq...