Quote Originariamente inviata da camionistaxcaso Visualizza il messaggio
Credo si debba aggiungere la questione della sicurezza, non so se pulisci le variabili in entrata prima di eseguire la query, per evitare la sql injection, ovvero dare la possibilità di manipolare la stringa sql permettendo il reperimento dei dati dati sensibili nel database o di aggirare il tuo sistema di login.
Ti faccio un esempio, prova ad inserire nel modulo di login un utente inesistente e come password la seguente stringa:

codice:
' and 1='1
dovrebbe crearti la sessione ugualmente, sempre che tu non abbia pulito l' input
Quoto hai ragione per quanto riguarda la sicurezza, prima risolviamo il problema poi guardiamo per la sicurezza.
Nel caso ho provato a fare un injection come quella che dici te e non funziona perché i dati passati nella query sono tra apici e rendono quasi impossibile un injection. Ma se vuoi aumentare la sicurezza basta che utilizzi la funzione
Codice PHP:
mysql_escape_string($string