Witam,

Stworzyłem skrypt rejestracji z hashowaniem hasła password_hash(). Pod spodem jest skrypt logowania. Jednakże teraz nie mogę zrobić bindValue na zmiennej $password. Czy taki kod jest bezpieczny? Jak się to ma do SQL Injection?

[PHP] pobierz, plaintext 
if(isset($_POST['submit']))	
{
	$login = trim($_POST['login']);
	$password = trim($_POST['password']);
	try
			   {
				  $pdo = new PDO($pol, $user, $pass);
				  $pdo->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
 
				  $stmt = $pdo->prepare('SELECT * FROM users WHERE login = :login');
				  $stmt -> bindValue(':login', $login, PDO::PARAM_STR);
				  //$stmt -> bindValue(':password', $pass_hash, PDO::PARAM_STR);
				  $stmt -> execute();
				  //print_r($_POST);
				  $row = $stmt->fetch(PDO::FETCH_OBJ);
				  //print_r($row);
				  $pass = $row->password;
				  $usr = $row->login;
				  //print_r($pass); echo '<br/>'; print_r($usr); echo '<br/>';
				  if(password_verify($password, $pass) && $login === $usr)
				  {
					  session_start();
					  echo "Witaj ".$login;
					  $_SESSION['logged'] = true;
					  $_SESSION['login'] = $login;
				  }
				  else 
				  {
					  echo "Podano nieprawidłowe dane";
				  }
				  $stmt->closeCursor();			   
			   }
			   catch(PDOException $e)
			   {
				  echo 'Połączenie nie mogło zostać utworzone: ' . $e->getMessage();
			   }
}
[PHP] pobierz, plaintext 

SQL injection tu nie ma bo prawidłowo korzystasz z PDO i bindujesz parametry. $login === $usr ten warunek w 20 linii jest zbędny. trim($_POST['password']) - a jak mam spacje w haśle na początku albo na końcu?
Nie rozumiem.

bo robisz na $pass_hash, który nie istnieje, poza tym session_start(); daje sie na samym początku a nie w tym miejscu