[PHP]Optymalizacja rejestracji i pytanie Opcje

[Bellum]

Witam, chciałbym prosić o optymalizacje (a konkretnie rady co należałoby zmienić) kodu doświadczonych programistów

rejestracja.php

[PHP] pobierz, plaintext 
<?php if(isset($_SESSION['session_user'])) 
{
	header('location: index.php');
}
	else
{
	echo "<div class='h3'><h3>Rejestracja</h3></div><div class='text'>";
	echo "<form action='' method='POST'>
	<table>
		<tr>
			<td>Nazwa użytkownika:</td><td><input type='text' name='user' /></td>
		</tr>
		<tr>
			<td>Adres email:</td><td><input type='text' name='email' /></td>
		</tr>
		<tr>
			<td>Hasło:</td><td><input type='password' name='password' /></td>
		</tr>
		<tr>
			<td>Powtórz hasło:</td><td><input type='password' name='repassword' /></td>
		</tr>
		<tr>
			<td colspan=2><input type='submit' name='zarejestruj' value='Wyślij' /></td>
		</tr>
	</table>
	</form>";
	echo "</div>";
 
require_once'config_db.php';
if(isset($_POST['zarejestruj']))
	{
		$date = time();
		$user = $_POST['user'];
		$email = $_POST['email'];
		$ip = $_SERVER['REMOTE_ADDR'];
		$password = $_POST['password'];
		$repassword = $_POST['repassword'];
 
		#Sprawdzanie pól formularza
		if(!$_POST['user'] || !$_POST['password'] || !$_POST['repassword'] || !$_POST['email'])
		{
			echo "Jedno bądź więcej pól w formularzu jest puste...";
			exit; 
		}
 
		#Sprawdzanie wprowadzonych danych
		if(!eregi('^[a-zA-z]+', $user)) 
		{
			echo "Nazwa użytkownika może zawierać wyłącznie małe i duże litery...";
			exit; 
		}
		elseif(!eregi('^[a-zA-z0-9]+', $password)) 
		{
			echo "Hasło może zawierać wyłącznie małe i duże litery oraz cyfry...";
			exit;
		}	
		elseif(!eregi('^[a-zA-z0-9]+', $repassword)) 
		{
			echo "Hasło może zawierać wyłącznie małe i duże litery oraz cyfry...";
			exit; 
		}	
		elseif(!eregi('^[a-zA-z0-9]+@[a-zA-z0-9\-]+\.[a-zA-z0-9\-\.]+$', $email)) 
		{
			echo "Adres email, jest niepoprawny...";
			exit; 
		}
 
		#Sprawdzanie czy hasła są identyczne
		if($_POST['password'] != $_POST['repassword'])
		{
			echo "Hasła nie są takie same...";
			exit;
		}	
 
		#Sprawdzanie czy taki użytkownik już istnieje
		$mysqlia = "SELECT user FROM user";
		$mysqlib = $db->query($mysqlia);
		while($echo = $mysqlib->fetch_object())
		if(($echo->user) == $user)
		{
			echo "Użytkownik o takiej nazwie już istnieje...";
			exit;
		}
 
		#Sprawdzanie czy taki email już istnieje
		$mysqlia = "SELECT email FROM user";
		$mysqlib = $db->query($mysqlia);
		while($echo = $mysqlib->fetch_object())
		if(($echo->email) == $email)
		{
			echo "Ktoś się zarejestrował już z tego adresu email...";
			exit;
		}
 
		#################
		## REJESTRACJA ##
		#################
		$mysqli = "INSERT INTO user (user, password, email, date, ip) VALUES ('$user' , '".md5($password)."', '$email', '$date', '$ip')";
		$echo = $db->query($mysqli);
		if($echo) 
		{
			echo "Zostałeś pomyślnie zarejestrowany, oczekuj na aktywacje..."; 
		}
		else 
		{
			echo "Wystąpił błąd, jeżeli błąd się powtarza skontaktuj się z administratorem...";
			exit; 
		}
	}
}	
?>
[PHP] pobierz, plaintext 

I największe moje pytanie, które już dawno chciałem zadać "Jak przypisać id użytkowników do sesji, obecnie loguję po nazwie użytkownika" tak:

[PHP] pobierz, plaintext 
<?php
 if(isset($_SESSION['session_user'])) 
{
	header('location: index.php');
}
	else
{
	echo "<div class='h3'><h3>Logowanie</h3></div><div class='text'>";
	echo "<form action='' method='POST'>
	<table>
		<tr>
			<td>Nazwa użytkownika:</td><td><input type='text' name='user' /></td>
		</tr>
		<tr>
			<td>Hasło:</td><td><input type='password' name='password' /></td>
		</tr>
		<tr>
			<td colspan=2><input type='submit' name='zaloguj' value='Zaloguj' /></td>
		</tr>
	</table>
	</form>";
	echo "</div>";
 
require_once'config_db.php';
if(isset($_POST['zaloguj']))
	{
		$user = $_POST['user'];
		$password = $_POST['password'];
 
		#Sprawdzanie pól formularza
		if(!$_POST['user'] || !$_POST['password'])
		{
			echo "Jedno bądź więcej pól w formularzu jest puste...";
			exit; 
		}
 
		#Sprawdzanie wprowadzonych danych
		if(!eregi('^[a-zA-z]+', $user)) 
		{
			echo "Nazwa użytkownika może zawierać wyłącznie małe i duże litery...";
			exit; 
		}
		elseif(!eregi('^[a-zA-z0-9]+', $password)) 
		{
			echo "Hasło może zawierać wyłącznie małe i duże litery oraz cyfry...";
			exit;
		}
		###############
		## LOGOWANIE ##
		###############
		if(isset($_POST['user']) && isset($_POST['password']))
		{
			$mysqlia = "SELECT * FROM user WHERE user='".$user."' AND password='".md5($password)."'";
			$echo = $db->query($mysqlia);
			if($echo->num_rows > 0) 
			{
				$_SESSION['session_user'] = $user; 
				header('location: index.php'); 
			}
			else 
			{
				echo "Login lub hasło, jest niepoprawne...";
				exit;
			}
				$db->close();
		}
	}
}
?>
[PHP] pobierz, plaintext 

To wszystko co potrafię w php mnie to wystarczy ale czy jest dobrze zoptymalizowane czy też można by coś dodać bądź zmienić to byłoby miło. Najbardziej jednak nurtuje mnie pytanie, które napisałem wyżej (IMG:style_emoticons/default/smile.gif)

@kolejne z pytań: przy rejestracji jest tak, że dla kodu użytkownik Bellum i użytkownik bElLuM to inne osoby wystarczy inne hasło i email by się zarejestrować, ponad to przy logowaniu zamiast bElLuM mogę wpisać Bellum i hasło ale nie do Bellum tylko do bElLuM i się normalnie zaloguję, proszę o radę myślę, że chodzi tutaj o uwzględnianie wielkości liter.

Ten post edytował Bellum 23.04.2011, 14:35:42

[Valker]

Tak więc:

Kod 1
1. Linie 57-61
Jak dla mnie nie potrzebne używanie dodatkowego wyrażenie regularnego. Jeśli sprawdzasz już hasło to potem to powtórzenie wystarczy sprawdzić czy jest takie samo jak to hasło. Jak hasło jest złe to co za różnica czy jego powtórzenie jest poprawne. A jak hasło jest poprawne to jeśli powtózenie jest takie samo to znaczy, że musi przejść to wyrażenie regularne.
2. Używanie eregi
Niby działa, ale zgodnie z Manualem nie powinno się go już stosować: http://pl.php.net/eregi
3. #Sprawdzanie czy taki użytkownik już istnieje
Nie za bardzo rozumiem czemu pobierasz listę wszystkich użytkowników, aby sprawdzić czy już taki istnieje. Przy małej ilości userów to nie ma zbytnio różnicy, ale przy dużej już jest to poważny błąd. Lepiej zastosować pytanie typu:

[SQL] pobierz, plaintext 
SELECT count(user) AS cnt FROM user WHERE user = "<tutaj nick>"
[SQL] pobierz, plaintext 

4. #Sprawdzanie czy taki email już istnieje
To samo co powyżej ^^
5. Linia 98
Zamiast wywoływać funkcje time() wcześniej możesz to zrobić w zapytaniu poprzez np. NOW() zamiast '$date'
6. Hasło
Wprowadził bym jakieś minimalną długość hasła, bo teraz możesz mieć 1 znakowe ;>

Kod 2
1.
Tutaj bym nie sprawdzał czy hasło składa się tylko z liter i cyfr. Dlaczego? Bo i tak liczysz z tego sumę md5, więc nie ma za bardzo znaczenia czy to pole zawiera niebezpieczne znaki czy nie.

Co do pytania: jeśli masz w bazie danych pole id to wystarczy, że je pobierzesz (a pobierasz bo korzystasz z *) i jak użyjesz funkcji np. http://pl.php.net/mysql_fetch_row to będziesz mógł pobrać to pole i przypisać do zmiennej.


Ostatnie pytanie:
Linię 33 w pierwszym kodzie zamień na:

[PHP] pobierz, plaintext 
$user = trim(strtolower($_POST['user']));
[PHP] pobierz, plaintext 

Pozdr,
Valker