Selamlar projede standart bir login sistemi kullanıyorum fakat sql login açığı oluşuyor bunu nasıl fixleyebilirim

bypass değişkeni : ' or ''='

if(isset($_POST['girisyap'])){
if($_POST["numara"] == "" || $_POST["password"] == ""){
header('location: /giris-yap/?hata=bos');
}else{
$numara = md5(htmlspecialchars($_POST["numara"]));    
$password = md5(htmlspecialchars($_POST["password"])); 


$kontrolsql = "SELECT * FROM yonetici WHERE numara = '$numara' and sifre = '$password' ";
$sonucsqlvarmi = $conn->query($kontrolsql);
$varmı = mysqli_num_rows($sonucsqlvarmi);

if ($varmı == "1") {
    echo "var";
}else{
    echo "yok";
}

}