Cita:
Iniciado por Uncontroled_Duck 
Pues por ejemplo pasar la variable $pass por [URL="http://php.net/manual/es/function.md5.php"]md5()[/URL] o [URL="http://php.net/manual/es/function.sha1.php"]sha1()[/URL] antes de enviarla a consulta.
Código PHP:
$usuario = $_POST['usuario'];
//para esto deberías tener la pass
//guardada de la misma forma en la base de datos.
$pass = md5($_POST['pass']);
$query = "SELECT id, usuario ";
$query.= "FROM TABLA ";
$query.= "WHERE usuario = '$usuario' ";
$query.= "AND pass = '$pass'";
Otra cosa es que deberías validar que llega a la consulta. Por ejemplo, si el usuario esperas que sea solo letras sin espacios (soyusuario), no debería traer "soy_usuario"
Con un simple [URL="http://www.php.net/manual/es/function.preg-match.php"]if( preg_match(..., ...) )[/URL] no dejas entrar la variable en la consulta. Evitando hacer consultas a la DB que son inválidas por si mismas.
Hola , Gracias!! lo de md5 lo voy a usar , ya lo tenia visto , pero ya había creado unos usuarios sin eso.
los otros dos temas no entiendo muy bien como hacerlo.
lo de (soyusuario), no debería traer "soy_usuario" , no entiendo como validarlo con el preg_match() , este no se usa para buscar una cierta palabra en una cadena ??
estoy perdido en este tema.