Cita:
Iniciado por eft0 
Veo en el ejemplo
Cita:
$result=mysql_query('SELECT * FROM users WHERE username="'.$_GET['username'].'"');
Interesante... pero solo hay que tener cuidado cuando es el usuario quien introduce algo y tu recoges la información no? es decir, solo cuando tengas un formulario o algo que te envien por GET o POST, si no me equivoco no?
Cuando el usuario no interviene escribiendo nada, no te pueden hacer sql injection no?
Gracias