Originariamente inviato da steno12
Per questo motivo è sempre opportuno munire il db di password, per accedervi.
Non è affatto opportuno se il db è Access.
La password di un db access si ricava in pochi secondi.
La soluzione migliore è appunto disabilitare il listing della cartella dove risiede il db (anche se uno, facendo delle prove) può riuscire a scaricarlo comunque se riesce a ricavarne l'indirizzo esatto.
Comunque vedo che hai evitato un minimo di SQL injection (username = ' or '' = ' :quipy: ).
Quello che non so dirti è se comunque le variabili di sessione sono sicure (IMHO dovrebbero essere cookies).