Hej,
Mam takie zapytanko do sprawdzania, czy użytkownik podał poprawne dane przy logowaniu:
[SQL] pobierz, plaintext 
  1. SELECT * FROM users WHERE email=$email AND pass=SHA1($pass)
[SQL] pobierz, plaintext

Za $email podstawiam dane zwalidowane funkcją PHP:
[PHP] pobierz, plaintext 
  1. filter_var($email, FILTER_VALIDATE_EMAIL)
[PHP] pobierz, plaintext

a za $pass to co podał użytkownik w polu tekstowym bez żadnego walidowania.

Logowanie uznajemy za poprawne, jeśli zapytanie zwróci dokładnie 1 rekord.
O ile można zaufać funkcji filter_var o tyle wydaje mi się, że zapytanie jest nie do obejścia.
Co o tym sądzicie?