Lieber JürgenB,

$username = $_POST['username'];
$password = $_POST['password'];
$query = "SELECT * FROM users WHERE username='$username' AND password='$password'";

so schön sieht man SQL-Injection-Lücken selten präsentiert. Nicht nur werden hier die User-Eingaben "umbenannt", sie werden auch ungefiltert für eine SQL-Abfrage genutzt. Das Umbenennen verschleiert diesen Umstand, was die Sache noch gefährlicher macht. Hier wäre es besser zu sehen (ohne Umbenennen):

$query = "SELECT * FROM users WHERE username='".$_POST['username']."' AND password='".$_POST['password']."'";

Wie immer: Kontext beachten! Sonst ist die Schule wieder auf Bobbys Mutter sauer.

Liebe Grüße,

Felix Riesterer.