Esto tb sucede


$sql="select * from usuarios where login=$login and clave=$clave";


cuando entro como usuario a una cuenta y pongo esto en la contraseña ' or '1'='1

entro al sistemas porque la cadena queda asi

$sql="select * from usuarios where login=jose14 and clave= or 1=1 ";

y como es verdadero (true)

enro al sistemas

esos e arregla usando esto

$clave=str_replace("x","'",$clave)


algo asi...


Entro