invece di usare "$query = trim(stripslashes($app));" potresti usare la funzione "mysql_escape_string()" o la funzione "mysql_real_escape_string" poi si ti conviene criptarte la password con l md5 (funzione "md5($password)") o meglio con lo sha1 (funzione "sha1($password)") poi la memorizzi al interno del db come stringhe, in tal caso dovrai usare la funzione md5() (o sha1()) anche quando fai "$em=$_POST["us"];" dovresti fare "$em=md5($_POST["us"]);". Per una guida buona e completa sulla sicurezza ti consiglio questo link, č chiaro e preciso:
http://php.html.it/guide/leggi/121/g...urezza-di-php/