Salve a tutti,
Stavo guardando la sicurezza durante un login. Ho visto che è consigliato l utilizzo delle dichiarazioni preparate (prepared statement), però questo non obbliga a passare i parametri nell'url?

Sto facendo un login con php e jquery, e al momento del login chiamo la funzione ajax che chiama una pagine e confronta la Session creata di username e password con una chiamata mysql, e appena trova username e password uguali entra:

while ($i < count($risultQuery) && $trovato == false) {

	if ($_POST['username'] == $risultQuery*['username'] && $_POST['password'] == $risultQuery*['password']) {
		$trovato = true;
	} else {
		$i++;
	}
}

questa pagina è chiamata dalla funzione ajax.
Questo script risulta poco sicuro?
Purtroppo ho tralasciato troppe volte la sicurezza, e adesso sto cercando di capire da dove iniziare.
Grazie.