Per quanto ne so io, perché non stai usando php exit; la funzione
potresti usare questo
session_start();
if (!isset($_SESSION['username'])) {
header('Location: index.php');
}
mysql and other php code here without filtering
ma devi usare
session_start();
if (!isset($_SESSION['username'])) {
header('Location: index');
exit;
}
mysql e altro codice php qui senza filtro
Ora qualsiasi software o scanner di vulnerabilità non sarà in grado di verificare che tu abbia una scappatoia per l'iniezione sql. Poiché la funzione di uscita non consente l'esecuzione di altri codici dopo se stessa. Il filtraggio del lato client è ancora necessario.
Potresti anche usare la funzione die.