Php login seguro con variables de sesión y protección a ataques de sql

				
					<?php
if($_SERVER['REQUEST_METHOD'] == 'POST'){
    $Correo = $_POST['Correo'];
    $Clave = $_POST['Clave'];

    // Validación de entrada
    if(empty($Correo) || empty($Clave)){
        echo "Debe completar todos los campos.";
        exit;
    }

    // Conectar a la base de datos
    include("conexion.php");

    // Escapar los valores de entrada antes de hacer la consulta
    $Correo = mysqli_real_escape_string($conn, $Correo);
    $Clave = mysqli_real_escape_string($conn, $Clave);

    // Hacer la consulta a la base de datos
    $sql = "SELECT id, Nombre, Correo, Clave, Cedula, TipoDocumento, Area, Vicepresidencia, Fecha_Nacimiento, Token, Sexo, Activo, idAvatar FROM usuarios WHERE Correo = '$Correo' and Clave='$Clave' ";
    $result = mysqli_query($conn, $sql);

    // Verificar si hay resultados
    if (mysqli_num_rows($result) > 0) {
        // Obtener la fila de resultados como un array asociativo
        $row = mysqli_fetch_assoc($result);
            // Inicio de sesión correcto
            session_start();
            $_SESSION['id'] = $row['id'];
            $_SESSION['Nombre'] = $row['Nombre'];
            $_SESSION['Cedula'] = $row['Cedula'];
            $_SESSION['Correo'] = $row['Correo'];
            echo "Inicio de sesión correcto";
            header("Location: home.php");
    } else {
        echo "Correo o contraseña incorrectos";
    }

    // Cerrar la conexión a la base de datos
    mysqli_close($conn);
}
?>

En el caso de que la clave este codificada entonces debemos comprobar

				
					<?php
header('Access-Control-Allow-Origin: *');
header("Access-Control-Allow-Headers: X-API-KEY, Origin, X-Requested-With, Content-Type, Accept, Access-Control-Request-Method");
header("Access-Control-Allow-Methods: GET, POST, OPTIONS, PUT, DELETE");
header("Allow: GET, POST, OPTIONS, PUT, DELETE");
require "conexion.php";

$Correo = mysqli_real_escape_string($conn, $_POST['Correo']);
$Clave = mysqli_real_escape_string($conn, $_POST['Clave']);

// Buscar el usuario por correo electrónico
$sql_verificar = "SELECT Clave FROM tabla WHERE Correo = ?";
$stmt_verificar = mysqli_prepare($conn, $sql_verificar);
mysqli_stmt_bind_param($stmt_verificar, "s", $Correo);
mysqli_stmt_execute($stmt_verificar);
$resultado = mysqli_stmt_get_result($stmt_verificar);
$fila = mysqli_fetch_assoc($resultado);

if ($fila) {
    // Comprobar si la contraseña coincide
    if (password_verify($Clave, $fila['Clave'])) {
        // La contraseña es correcta
        echo "Contraseña correcta";
    } else {
        // La contraseña es incorrecta
        echo "Contraseña incorrecta";
    }
} else {
    // El usuario no está registrado
    echo "El usuario no está registrado";
}

mysqli_stmt_close($stmt_verificar);
mysqli_close($conn);



?>