MySQL e password injection

[Fexys]

Salve a tutti,
ho un piccolo dilemma da qualche giorno ho cercato un po' in giro ma non sono riuscito a venirne a capo. Il dilemma è l'hashing delle password mediante la funzione "password" di MySQL: non so se al momento dell'esecuzione della query viene prima eseguito l'hash di ciò che è contenuto in $password o se viene prima eseguita la query sequenzialmente creando una injection, come nell'esempio. Purtroppo per motivi legati al software sono obbligato ad usare questa funzione invece di usare un hash più comune come md5(). Ho fatto alcune prove e mi resistituisce errore, dunque dovrei pensare che la funzione password non è soggetta a injection? Oppure sì?

Codice PHP:

<?php
mysql_connect('localhost', 'root', 'root');
mysql_select_db('test');

$password = "injection') and name = 'username'";
$query = "INSERT INTO account SET password = password('{$password}')";
$res = mysql_query($query);

if ($res) {
    echo 'ok';
} else {
    echo 'error';
}
?>

Aspetto maggiori informazioni
Grazie per l'attenzione!

[deleted_29]

0)

Purtroppo per motivi legati al software ...

????

1) cos'è una "password injection"?
non l'ho mai sentito

2) forse intendi il rischio di una SQL injection?
Certo che c'è, se non provvedi a parsare per bene i comandi SQL.

3) Riguardo all'uso di quella funzione il manuale dice... The PASSWORD() function is used by the authentication system in MySQL Server; you should not use it in your own applications.

4) E' sconsigliato usare md5 (per le rainbow table ormai diffusissime), e ricorda bene di "salare" opportunamente, magari con altro campo db se vuoi una maggior robustezza