[MySQL][PHP] Moj skrypt rej. Proszę o porady. Opcje

[robert-0627]

Witam wszystkich. Ostatnio napisałem skrypt rejestracji, logowania itp. I chciałbym prosić, was o poradę bo o ile wszystko mi działa tak nie jestem pewien czy poprawnie stosuje, niektóre rzeczy.
header , session, !tytul,

1. Czy o to mniej więcej chodzi z kodowaniem hasła przy mdl5? Podczas tworzenia użytkownika jest kodowane i podczas logowania również aby sprawdzić czy pasują.
2. Czytałem, że header i session mają być wysłane do przeglądarki przed wysłaniem jakiegokolwiek tekstu. Czy mam rozumieć, że te 2 rzeczy powinny być umieszczone jeszcze jakoś przed znacnzikiem <html>? Bo wtedy wydaje mi się, że trochę więcej zabawy by mogło być.
3. Taki fragment kodu "if(!$value_password)" z pliku rejestracja , który ma sprawdzać czy użytkownik podał hasło. Czy poprawnie to jest zrobione ? I jak zrobić, aby taki komunikat wyświetlał się po wysłaniu formularza. Tymczasem jużpo wejściu na strone widnieję ostrzeżenie.
4. I ogólnie chciałbym prosić, o jakieś wskazówki, które pomogłyby mi w dalszym rozwjou .

Pozdrawiam i z góry dziękuje za odpowiedź.
Logowanie

[PHP] pobierz, plaintext 
//LOG IN
 
<table border="2" font size="2">
<tr align="right" valign="top" height="10%" ><td align="right" valign="top">
 
<form method = "post" action = "index.php">
 
<input type="text" name="login">
<br>LOGIN
</td>
 
<td>
 
<input type="password" name="password">
<br>PASSWORD
</td></tr>
 
<tr align = "right"><td colspan="2">
<input type="submit" value="SEND">
</td></tr>
 
</form>
 
</table>
 
 
<?php 
 
 
session_start();
 
require 'connection.php';
 
$login = $_POST['login'];
$password_insert = $_POST['password'];
 
$hash_log = md5($password_insert);
 
 
$q = mysql_query("SELECT * FROM `users` where `login` = '$login' AND `password` = '$hash_log' ")
or die('BLAD LOGOWANIA: '.mysql_error());
 
 
$wynik = mysql_fetch_array($q);
$check_password = $wynik['password'];
 
 
	if($wynik)
	{
		$_SESSION['logged'] = $wynik['login'];
		$_SESSION['id'] = $wynik['id'];
		echo "zalogowales sie: <br>".$_SESSION['logged'];
		echo "<br><a href='log_out.php'>LOG OUT</a>";
		header("Location: <a href="http://iamorganized.cba.pl/index.php&quot%3b%29;" target="_blank">http://iamorganized.cba.pl/index.php");</a>
	}
	else
	{
		if(!$password_insert || !$login)
		echo "insert the password or loggin<br>";
		else
		echo "WRONG password or loggin<br>";
	}
 
 
@mysql_close($connection);
 
?>
 
[PHP] pobierz, plaintext 

Rejestracja:

[PHP] pobierz, plaintext 
<table>
<tr align="right"><td>
 
<form method = "post" action = "index.php">
LOGIN: <input type="text" name="login_reg"><br>
</tr></td>
<tr align = "right"><td>
 
PASSWORD: <input type="password" name="password_reg"><br>
</tr></td>
<tr align = "right"><td>
RETYPE PASSWORD: <input type="password" name="password2_reg"><br>
</tr></td>
<tr align = "right"><td>
AGE: <input type="text" name="age"><br>
</tr></td>
<tr align = "right"><td>
<input type="submit" value="SEND">
</tr></td>
</form>
</table>
 
<?php
 
 
include 'connection.php';
 
$value_login = $_POST['login_reg'];
 
$value_password = $_POST['password_reg'];
 
$hash_reg = md5($value_password);
 
$password2 = $_POST['password2_reg'];
 
$age = $_POST['age'];
 
$exist = @mysql_query("SELECT * FROM `users` WHERE `login` = '$value_login' ")  //Sprawdzenie czy dany użytkownik już znajduję sie w bazie 
or die('BLAD REJESTRACJA: '. mysql_error());
 
$number_users = @mysql_query("SELECT * FROM `users` ");   
echo 'Registered users: '.@mysql_num_rows($number_users);
 
$result = mysql_fetch_assoc($exist);
 
 
if($result['login'])
	echo $result['login']." already exist in my data base";
else
{
	if(!$value_password)
	echo "Enter the password!<br>";
	if(!$value_login)
	echo "Enter the login!<br>";
	if($password2 != $value_password)
	echo "Passwords must match !";
 
	if($password2 == $value_password && $value_password && $value_login)
	{
		echo "uzytkownik dodany";
		$add = @mysql_query("INSERT INTO `users` (`id`,`login`,`password`,`age`) VALUES ('','$value_login','$hash','$age')");
		echo mysql_error();
	}
}
 
 
@mysql_close($connection);
?>
[PHP] pobierz, plaintext 

[tolomei]

Witaj.

Odpowiadając na pytania:
1. Uznaje się powszechnie, że czysty md5 nie jest w pełni bezpieczny. Poprawę bezpieczeństwa zapewni Ci już SHA1. Dodatkowo polecam poczytanie o generowaniu "soli" do hasła.
2. Inicjalizację sesji oraz funkcję header() stosujemy przed jakimikolwiek znakami przesłanymi do klienta. To oznacza, że także przed jakimkolwiek HTML-em.

Twój skrypt posiada luki SQL Injection. Jeśli chcesz używać PHP to musisz nauczyć się co to jest i jak się zabezpieczać(sprawdź także XSS).
Użyta przez Ciebie funkcja header() zawiera błędny nagłówek poczytaj o niej w manualu(header).
Nie powinieneś zbyt pochopnie używać kodu w stylu if(!$zmienna). Czasami wynik może być zaskakujący. Więcej tutaj.

Kod jest dobry jeśli dopiero się uczysz, ale nie wystarczający, aby budować coś dużego za jego pomocą.
Poczytaj o MVC.

Powodzenia.