He escaneado mi script de inicio de sesión utilizandoSQL Inyectame Complemento de Firefox

De acuerdo con los resultados de la prueba, mi script era vulnerable a la inyección SQL. Resultado por ejemplo

Results:
Server Status Code: 302 Found
Tested value: 1' OR '1'='1
Server Status Code: 302 Found
Tested value: 1' OR '1'='1
Server Status Code: 302 Found
Tested value: 1 UNI/**/ON SELECT ALL FROM WHERE
Server Status Code: 302 Found
Tested value: %31%27%20%4F%52%20%27%31%27%3D%27%31

Mi guion

login.php - formulario de inicio de sesión

check-login.php - Para verificar los detalles de inicio de sesión y aquí está el código.

$ email = limpio ($ _ POST ['nombre de usuario']); $ pass = clean ($ _ POST ['password']); $ user = "select * from tbl_admin donde admin = '$ email' y pass = '$ pass'";

// algún código

$ _SESSION ['login_mes'] = "¡Has iniciado sesión correctamente!"; encabezado ("Ubicación: admin.php"); salida();

} else {

$ _SESSION ['login_mes'] = "Dirección de correo electrónico o contraseña no válida, inténtelo de nuevo."; encabezado ("Ubicación: login.php"); salida(); }

Los problemas vinieron cuando el inicio de sesión falló. Si quito el

} else {

$_SESSION['login_mes'] = "Invalid email address or password, please try again.";
header("Location:login.php");
exit();
}

¿No se detectan fallas con SQL Inject Me y cómo arreglar esta pieza?