Hai ragione ci avevo pensato, però anche se la injection è corretta questo funziona solo nel caso ci sia un utente solo nel db, altrimenti il processo viene fermato all'if del controllo del numero delle righe penso, comunque hai ragione, ovviamente anche la sicurezza è parte fondamentale di un buon sito attendiamo risposte di rockykinotto mi sa per adesso...