[PHP]Logowanie na sesjach i mysql :P, Czyli mój pierwszy własny skrypt Opcje

[marian2299]

Napisałem własne skrypty, działają i wgl, ale muszą zostać zabezpieczone. W związku z tym piszcie, czy napisałem w miarę ok, czy są rażące widoczne błędy, itp.
Plik logowanie.php

[PHP] pobierz, plaintext 
<?php 
sesion_start(); //rozpoczęcie sesji
 
$login = mysql_real_escape_string($_POST['login']);  //określenie zmiennej login, dodanie backshalsy
$haslo = mysql_real_escape_string(md5($_POST['haslo'])); //określenie zmiennej haslo, dodanie backshalsy,kodowanie md5
 
if ($login != "" && $haslo != ""){ //sprawdzanie czy zmienne nie są puste
 
$zapytanie = "SELECT * FROM `uzytkownicy` WHERE login="'. $login.'" and haslo="'.$haslo.'" "; //zapytanie
$uzytkownik = mysql_fetch_array(mysql_query($zapytanie) or die("Wystąpił nieoczekiwany błąd.")); //tworzymy tablicę
 
$_SESSION['login'] = $uzytkownik['login']; //określamy zmienną sesyjną login
$_SESSION['haslo'] = $uzytkownik['haslo']; //określamy zmienną sesyjną haslo
$_SESSION['id'] = $uzytkownik['id']; //określamy zmienną sesyjną id
echo "Zostałeś zalogowany jako: ".$_SESSION['login'].""; //jeśli wszystko ok, wyświetlamy login
}
else {
echo  'Podałeś błędne dane, spróbuj ponownie.';  //jeśli nie baj baj
}
 
?>
[PHP] pobierz, plaintext 

Czy wszystko robię ok ? Czy jest to odporne na SQJ injection ? Macie może jakieś sugestie ?
Czy w pliku tylko dla zalogowanych w zupełności wystarczy:

[PHP] pobierz, plaintext 
<?php
session_start();
  if (!isset($_SESSION['login']) || !isset($_SESSION['haslo'])) {
  header("location:index.php"); // Przekierowanie do index.php
}
?>
[PHP] pobierz, plaintext 

Ten post edytował marian2299 17.08.2009, 00:34:12

[marian2299]

A czy `przelecenie mysql_real_escape_string` po pustych zmiennych może dać niepożądane skutki ?, if ($login != "" && $haslo != ""){ to po `przeleceniu` nie wystarczy ?

Co do tych wyrażeń, poczytam, ale jutro (ciężki dzień (IMG:style_emoticons/default/haha.gif) ).

A ogólnie ten kod może być ?