siempre ponle a tu paso de parámetros la funcionalidad para evitar la inyección de comandos por sql:
//thanks to
https://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
//thanks to
http://php.net/manual/es/security.da...-injection.php
function getSafeSQL($SQL)
{
$SQL = str_replace("'", "''", $SQL);
$SQL = str_replace("[", "[[]", $SQL);
$SQL = str_replace("%", "[%]", $SQL);
$SQL = str_replace("exec master", "[_]", $SQL);
return $SQL;
}
Ejemplo de uso:
<?
if(isset($_POST["usuario"]))
$usuario = str_replace(chr(34), " ", getSafeSQL(trim($_POST["usuario"])));
else
$usuario = "";
if(isset($_POST["contra"]))
$contra = str_replace(chr(34), " ", getSafeSQL(trim($_POST["contra"])));
else
$contra = "";
$sql = "SELECT * FROM usuarios WHERE usuario='".trim($usuario)."' AND password='".trim($contra)."'";
?>