hi,

Warum like? mach stattdessen = denn wenn jemand %a% als username
eingiebt, und als pwd z.B. "password" und es giebt einen usernamen in
dem ein a oder A vorkommt z.B. bei "Hans" und dieser hat das pwd
"password" dann ist derjenige als dieser eingeloggt, das ist eine
sicherheitslücke

die ist aber auch darüber hinaus noch vorhanden, weil benutzerparameter ungeprüft in die query übernommen werden, stichwort sql injection.

mysql_(real_)escape_string() zu benutzen, wäre das mindeste.

gruß,
wahsaga