Hola
Hombre, no hay que ser alarmistas, si miramos al principio del código de nuestro amigo kael vemos lo siguiente:
Código PHP:
if( $_POST['enviar'] ) { //Verificamos si se envio el formulario
$nick = trim($_POST['nick']); //Sacamos los espacios
$pass = trim($_POST['pass']);
Con esto ya está obligando a posibles hackers a simular una llamada 'post' a nuestra página, ademas de quitando los espacios con lo que muy posiblemente se vuelva inservible la porción de código sql que se intente añadir.
Se podría retocar un poquito y quedaría mucho mejor asin:
Código PHP:
if( $_POST['enviar'] ) {
$nick = AddSlashes( trim( strip_tags( $_POST['nick'] ) ) );
$pass = AddSlashes( trim( strip_tags( $_POST['pass'] ) ) );
Elimino las posibles marcas HTML y PHP, elimino espacios y por ultimo marco con barras los caracteres que lo necesiten.
Ahora te propongo yo una cosa, amplia tu respuesta que es más alarmista que de utilidad y explica ¿que es un "agujero de seguridad tipico por injeccion de sql"?, formas de solucionar este problema y ¿donde ves ese agujero en este código?.
Sería interesante que habrieras un nuevo hilo para este tema.
Salu2