Hola amigos,

soy nuevo en este foro, estoy desarrollando una aplicación en PHP + mysql para el acceso
de usuarios y desearia hacerla lo más "blindada" posible

estoy usando SSL para loguear, quisiera saber si encuentran alguna vulnerabilidad en esta
sentencia mysql

previamente se ha usado MD5 para el $pass
y se han filtrado las variables $user y $pass con la funcion Filtro_cracks()

esta es la funcion de filtrado

function Filtro_cracks($cadena){
$cadena = str_replace("<","<",$cadena);
$cadena = str_replace(">",">",$cadena);
$cadena = str_replace("\'","'",$cadena);
$cadena = str_replace('\"',""",$cadena);
$cadena = str_replace("\\\\","&#92",$cadena);
$cadena = str_replace("\t","",$cadena);
$cadena = str_replace("\n","",$cadena);
$cadena = str_replace("\r","",$cadena);
$cadena = str_replace("|","",$cadena);
$cadena = str_replace("#","",$cadena);// agregado por seguridad
$cadena = str_replace("&","",$cadena);
return $cadena;
}


y esta es la sentencia sql para validar el acceso luego de los filtrados

$query=mysql_query("SELECT id,usuario,nombre,apellido,mail FROM users WHERE usuario='$user' AND clave='$pass' AND activo='1'") or die ('imposible realizar la consulta '.mysql_error());

Si hay resultados.. el usuario existe lo dejo acceder al sistema.

Muchas Gracias amigos
espero sus colaboraciones