Sto "aggiornando" il mio vecchio sistema di login che ancora usava mysql_connect per una connessione mysqli
Il primo step è superato, però vorrei un parere sulla sicurezza.

Codice PHP:
$username htmlspecialchars($_POST['username'], ENT_QUOTES);
$password sha1($_POST['password']);
$qwt "SELECT * FROM utenticliente WHERE username =?";
$stmt $connessione->prepare($qwt);
$stmt->bind_param("s"$username);
$stmt->execute();
$result $stmt->get_result(); 
Nella precedente versione per sicurezza la query era:
codice:
"SELECT * FROM utenticliente WHERE username ='" . mysql_real_escape_string($username) . "'"
Quindi secondo voi anche senza il mysql_real_escape_string è comunque abbastanza sicuro? potrei fare altro?
Grazie
Sonia