Bu şekilde üye login girişim var. Kullanıcı telefon numarası ve şifresi ile giriş yapabiliyor.Sizce bu sistem hacklenabilir mi veya sql injection yapılabilirmi?

<?php

$telefon = $_POST['telefon'];

$sifre = $_POST['sifre'];



$db = new PDO("mysql:host=ttttttt;dbname=tttttt","ttttttt","tttttt");
  
$veri = $db->query("SELECT * FROM uyeWHERE telefon = '$telefon' and sifre = '$sifre' ",PDO::FETCH_ASSOC);

$gen = $veri -> rowcount();

if ($gen > 0) {

	      session_start();

	    $_SESSION['login']= true;
	    $_SESSION['telefon']= $telefon;
	    $_SESSION['sifre']= $sifre;

	    	setcookie("te",$telefon,time()+3600,'/');
                 
            header("Location: uyesayfa.php?id=$telefon");
	  
}
else {

	echo "<center>Kullanıcı adı veya şifre yanlış</center>";
}

?>

Üye sayfası güvenlik kodlarım üst kısımda aşağıdadır

uyesayfa.php

<?php

$id = $_GET['id'];

ob_start();

session_start();

if (isset($_SESSION['login'])) {


} else {

   
header("location: index.php");
}

?>
<html>
vs.....
</html>