PHP - php e sessioni

ho una domanda da farvi...

se io usassi un sistema del genere per fare un autenticazione per un area protetta, incorrerei in dei rischi di sicurezza da parte di utenti malevoli o no?

considerando che:
- invia è il nome del pulsante premuto
- nome e password sono i nomi dei due input di tipo text
- users è il nome della tabella dove sono inseriti tutti gli utenti registrati

		session_start();
	session_regenerate_id(TRUE);

if ($_POST['invia']){
		$nome=htmlentities($_POST['nome'], ENT_QUOTES);
		$nome=trim($nome);

		if ($nome=="")
			die("Non hai inserito il nome");

		$password=trim($_POST['password']);
		if ($password=="")
			die("Non hai inserito la password");
		else
			$password=md5($password);

		$query = "select * from users where nome='$nome' and password='$password'";
		$result = mysql_query($query,$db);
		$numRighe = mysql_num_rows($result);
		
		if($numRighe == 1) {
			$_SESSION['user'] = $nome;
			$_SESSION['dentro'] = "si";
			header("Location: /AREA_CON_FUNZIONI_AD_ACCESSO_PROTETTO");
		}
}

------------------------------
ora questo codice invece sta nella pagina dell'area ad accesso protetto:

	session_start();
	session_regenerate_id(TRUE);
	$user=$_SESSION['user'];
	$dentro=$_SESSION['dentro'];

	if (trim($user) !="" and ($dentro=='si')){
	 	$query = "insert into TABELLA_PROTETTA ecc....."
	}

------------
la mia domanda è:
questo codice garantisce veramente che i dati all'interno della tabella "TABELLA RISERVATA" possono essere inseriti solo ed esclusivamente da un utente che si è loggato veramente?
ai fini della sicurezza c'è modo di poter aggirare, da parte di un utente malevolo, questa autenticazione?
se si in che modo??

grazie a chi mi risponderà

hai provato a fare dei testi di sql injection?
prova con acunetix e vedi che succede.