CAJIO
commented
11 years ago и это ещё не вся sql инъекция...
Желательно добавить это, иначе совсем плохо...
if (!pregmatch("/^[a-zA-Z0-9-]+$/", $login) || !pregmatch("/^[a-zA-Z0-9-]+$|<|>|\?|:/", $postPass)) { echo "Неверные символы"; exit; }
Ошибка: $login = $_POST['user']; $postPass=$_POST['password'];
Фикс: $login=mysql_real_escape_string($_POST['user']); $postPass=mysql_real_escape_string($_POST['password']);