System logowania opary o MySQL Opcje

[Strarus]

cześć:)
Chciałbym napisać system logowania oparty o mysql i sesje. Chciałbym się dowiedzieć na co muszę zwrócić uwagę podczas pisania takowego skryptu aby dany system był jak najbezpieczniejszy. Moja teoria napisania skryptu:
*login.php
- Sprawdza czy zostały przesłane dane (login i hasło). Jeśli tak: łączy się z bazą, wyciąga hasło z tabeli users gdzie login jest taki jak ten z POSTu. Jeśli wszystko się zgadza daję do sesji zmienną zalogowany, następnie przekierowuję na index.php (zabezpieczony przed wejściem bez sesji zalogowany). Jeśli nie są przesłane login i hasło pokazuje formularz z hasłem i loginem.
*logout.php
- Niszczę sesję zalogowany i przekierowuję na index.php
*index.php
- Sprawdzam czy jest sesja zalogowany jeśli tak - wyświetlam zawartość (u mnie będzie to system newsów) jeśli nie pokazuję link zaloguj i inne szczegóły strony.

Wszystko dobrze?? (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) Teraz jakich funkcji i gdzie ich użyć aby mój skrypt byłbezpieczny (IMG:http://forum.php.pl/style_emoticons/default/smile.gif) (IMG:http://forum.php.pl/style_emoticons/default/questionmark.gif)

[Mlodycompany]

Proponuje Ci zrobić takie zapytanie

[SQL] pobierz, plaintext 
SELECT * FROM `users` WHERE `login` = '".$login."' AND `haslo` = '".$haslo."'
[SQL] pobierz, plaintext 

To zapytanie sprawdza czy w bazie jest rekord gdzie login = login a haslo = haslo i zwraca rekord. Możesz sobie zabezpieczyć dodatkowo przed atakiem dodając: 

[PHP] pobierz, plaintext 
<?php
$query = mysql_query(zapytanie w/w);
 
$row = mysql_fetch_row($query);
 
if($row['login'] == $login AND $row['haslo'] == $haslo){
 
$zalogowany = true;
 
}
?>
[PHP] pobierz, plaintext 

i przy zmianie nazwy zmiennych posta dodać funkcję jeszcze addslashes();



Jak na mój gust logowanie będzie dosyć bezpieczne i funkcjonalne. Ja tak robię zawsze i działa wszystko (IMG:http://forum.php.pl/style_emoticons/default/biggrin.gif)