Robię pewien skrypt w podstronie mybb, który wykorzystuje dane z formularza, a później sprawdza czy są one w bazie.
I teraz pojawia się pytanie czy ten kod jest odporny na sql injection?
$login_ss = $_POST['login'];
$pass_ss = $_POST['password'];
$login_ss = htmlentities($login_ss, ENT_QUOTES, "UTF-8");
$pass_ss = htmlentities($pass_ss, ENT_QUOTES, "UTF-8");
$pass_ss = md5($pass_ss);
$pass_ss = $db->escape_string($pass_ss);
$login_ss = $db->escape_string($login_ss);
$checkquery_ss = $db->query("
SELECT pPass, pName, pID
FROM Tabela
WHERE pName = '$login_ss' AND pPass = '$pass_ss'
LIMIT 1
");
$checkstatus_ss = mysqli_num_rows($checkquery_ss);
echo 'Status to: ' .$checkstatus_ss;