Bu şekilde üye login girişim var. Kullanıcı telefon numarası ve şifresi ile giriş yapabiliyor.Sizce bu sistem hacklenabilir mi veya sql injection yapılabilirmi?
<?php
$telefon = $_POST['telefon'];
$sifre = $_POST['sifre'];
$db = new PDO("mysql:host=ttttttt;dbname=tttttt","ttttttt","tttttt");
$veri = $db->query("SELECT * FROM uyeWHERE telefon = '$telefon' and sifre = '$sifre' ",PDO::FETCH_ASSOC);
$gen = $veri -> rowcount();
if ($gen > 0) {
session_start();
$_SESSION['login']= true;
$_SESSION['telefon']= $telefon;
$_SESSION['sifre']= $sifre;
setcookie("te",$telefon,time()+3600,'/');
header("Location: uyesayfa.php?id=$telefon");
}
else {
echo "<center>Kullanıcı adı veya şifre yanlış</center>";
}
?>
Üye sayfası güvenlik kodlarım üst kısımda aşağıdadır
uyesayfa.php
<?php
$id = $_GET['id'];
ob_start();
session_start();
if (isset($_SESSION['login'])) {
} else {
header("location: index.php");
}
?>
<html>
vs.....
</html>