انا انشئت موقع ويب بواسطة php وكتبت داله تسجيل الدخول بهذه الطريقه

<?php

$db_connection = mysqli_connect("localhost", "zeyad", "12345678", "trip");

$username = $_POST['username'];
$password = $_POST['password'];


$query = "SELECT * FROM users WHERE username='$username' AND password='$password'";
$result = mysqli_query($db_connection, $query);


if (mysqli_num_rows($result) == 1) {
 
    session_start();
    $_SESSION['username'] = $username;
    header('Location: dashboard.php');
} else {
   
     header('Location: errorPage.php');
}
mysqli_close($db_connection);
?>


ولاكن موقعي تم اختراقه كيف احل المشكله و ماهي الثغره اريد شرح ارجوكم