Zabezpieczenie skryptu i proces instalacji., Jak najlepiej zabezpieczyć skrypt. Opcje

[vifus]

Witam, mam sobie taki pewien skrypt transakcyjny, który jeszcze 'nie wszedł w życie' i mam go tak 'zabezpieczonego'

[PHP] pobierz, plaintext 
 
 
$nick = $_SESSION['nick'];
$haslo = $_SESSION['haslo'];
$user = mysql_fetch_array(mysql_query("SELECT * FROM uzytkownicy WHERE `nick`='$nick' AND `haslo`='$haslo' LIMIT 1"));
 
 
 
if ((empty($nick)) AND (empty($haslo)) AND (empty($user[id]) OR !isset($user[id]))) {
 
tresc dostepna po zalogowaniu
 
}
else {
zaloguj sie itd.
}
 
 
[PHP] pobierz, plaintext 

I pytanie - czy to jest wystarczająco bezpieczne ?

2. Mam zamiar zrobić proces instalacji - jak to najlepiej rozwiązać ? mam na myśli w pliku index.php zrobić Zapytanie, że jeżeli plik config.php jest pusty to otwiera się install/index.php a po zakończeniu instalacji po prostu index.php bym nadpisywał takim samym plikiem z tym, że już bez tego zapytania czy config.php jest pusty.


Czy to ma sens? Jak to najlepiej rozwiązać ?

Dzięki z góry.

[maniana]

Przed dodanie jakichkolwiek zmiennych do zapytania przefiltruj je funkcjami, np: mysql_real_escape_string. Po prostu niebezpieczeństwo w 99% idzie od strony danych wejściowych. To tego możesz jeszcze posolić hasło (IMG:style_emoticons/default/smile.gif) Zabezpiecza to hasła które mogą wypłynąć na zewnątrz.