Ich kann der Empfehlung ebenfalls keine Zustimmung erteilen.
Schon alleine der Loginvorgang wird durchgeführt ohne die übergebenen POST-Parameter zu maskieren und direkt in das SQL-Query einzubinden:
Zitat:
$user = $_POST['loginName'];
$pass = $_POST['loginPass'];
$sql = "SELECT id FROM accounts WHERE
username = '". $user ."' AND
password = '". $pass ."' LIMIT 1;";
|
Stichwort:
SQL-Injection