En teoría, está bien, el único problema que veo es que no revisas si la consulta devuelve resultados:
Código PHP:
Ver original$resultados = $this->con->query("SELECT * FROM user WHERE correo='$correo1'");
// Aquí falta revisar:
if($resultados->num_rows != 1) {
// No se encontró el registro
// o, probablemente, hay 2 o más cuentas con el mismo correo
// Eso depende de tu desarrollo
}
$data = $resultados->fetch_array(MYSQLI_ASSOC);
, ciertamente es mejor el uso de consultas preparadas, pero sí está protegido contra inyecciones SQL, para eso se usa
->real_escape_string()