Czy ja dobrze kumam? Opcje

[eS...]

witam
zrobiłem sobie wkońcu rejestracje użytkowników. Sam bez pomocy internetu itd.
i oto co mi wyszło[php:1:8e22e61f8b]<?php
mysql_connect('localhost','root','krasnal');
mysql_select_db('test');

$user=$HTTP_POST_VARS['user'];
$haslo=$HTTP_POST_VARS['haslo'];
$mail=$HTTP_POST_VARS['mail'];
$miasto=$HTTP_POST_VARS['miasto'];

$sql="SELECT * FROM user;";

$wynik=mysql_query($sql)or die('blad');

while($row = mysql_fetch_row($wynik)){
$user1=$row[1];
$haslo1=$row[2];
$mail1=$row[4];
}

if ($user==$user1 ){
echo "podany nick , istnieje w naszej bazie danych!";
}elseif($mail==$mail1){
echo "Podany mail istnieje w bazie danych";

}elseif(!($user||$haslo||$mail)){
echo "Wypełnij wszystkie pola";

}else{
$sql1= "INSERT INTO user ( `id` , `user` , `haslo` , `level`,`mail`,`miasto`,`data_przylaczenia` ) VALUES ( '', '$user', MD5( '".$haslo."' ),'0','$mail','$miasto',now() );";

$wynik1=mysql_query($sql1)or die(mysql_error());


echo ":-)";

}


?>[/php:1:8e22e61f8b]
Wszystko działe, ale powiedzcie co ewentualnie jest zle lub co dodać??
dzięki z góry

[Seth]

[php:1:e49c634ed1]<?php
$user=$HTTP_POST_VARS['user'];
$haslo=$HTTP_POST_VARS['haslo'];
$mail=$HTTP_POST_VARS['mail'];
$miasto=$HTTP_POST_VARS['miasto'];
?>[/php:1:e49c634ed1]

Brak walidacji danych z zewnatrz.

[php:1:e49c634ed1]<?php
$sql="SELECT * FROM user;";
?>[/php:1:e49c634ed1]

Bledne zapytanie. Pobierasz za duzo nie potrzebnych danych.

Dalej kod powinien byc odpowiednio zmieniony pod to jak zmienisz SQLa.

[php:1:e49c634ed1]<?php
...
}elseif(!($user||$haslo||$mail)){
...
?>[/php:1:e49c634ed1]

zamiast || daj &&

Jeszcze trzeba nad tym popracowac, bo poza tym, ze dziala musi byc bezpieczne (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)

Edit: za dlugo pisalem, wiec sorry jak cos sie powtorrzylo w tym co pisal scanner (IMG:http://forum.php.pl/style_emoticons/default/smile.gif)