Cita: Por más que cifres la contraseña (algo recomendable, pero por otros motivos) las inyecciones SQL pueden darse. Para evitarlas usa la función mysql_real_escape_string antes de enviar la sentencia SQL.
y si haces esto (?)
Código PHP:
Ver original$password = md5($_POST["password"]); $usuario = md5($_POST["usuario"]); $consulta = "SELECT password FROM usuarios WHERE md5(username) = $usuario";
// condicion.. si solo hay 1 respuesta
// bla bla
if($row["password"] == $password){
// mas bla bla
como injectarias ese metodo (?)