Witam. Mam takie pytanie, otóż dużo czytałem o sql injection, xss oraz jak można się przed nimi zabezpieczać. Teraz moje pytanie:
jeśli mam takie coś:

[PHP] pobierz, plaintext 
$zapytanie = mysql_query("select * from `tabela` where `us_log` = '$zmiennazloginem' and `us_pass` = '$zmiennazhaslem' ");
[PHP] pobierz, plaintext 

To można wpisać w input z nickiem admina " nickadmina '/* " - i baza nie będzie szukała hasła, czyli to jest mniej bezpieczne niż:

[PHP] pobierz, plaintext 
$zapyt = mysql_query("select * from `tabela` where `us_login` = '$zmiennazlogienm' ");
$bazat = mysql_fetch_assoc($zapyt);
[PHP] pobierz, plaintext 

i później sprawdzić login i trzasnąć

[PHP] pobierz, plaintext 
 
if($bazat['haslo'] == $zmiennazhaslem') 
{
 echo "zalogowany";
}
[PHP] pobierz, plaintext 

? Czekam na odpowiedzi

Hasło idzie do bazy hashowane więc się nim nie przejmujesz.
Nick sprawdź wcześniej czy zawiera nieprawidłowe znaki, potem użyj mysql_real_escape_string dla pewności albo PDO.