WItam,

Napisałem prosty skrypt logowania.
Proszę o opinie co można zmienić żeby podnieść bezpieczeństwo 

[PHP] pobierz, plaintext 
  1. <?php
  2. session_start();
  3.  
  4. if (!isset($_SESSION['inicjuj']))
  5.    {
  6.       session_regenerate_id();
  7.       $_SESSION['inicjuj'] = true;
  8.       $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
  9.  
  10.    }
  11. if($_SESSION['ip'] != $_SERVER['REMOTE_ADDR'])
  12.    {
  13.       session_unset();
  14.       session_destroy();
  15.       die();
  16.    }
  17.  
  18.  
  19. require('langs/lang.class.php');
  20. $txt='';
  21.  if ($_SESSION['login'] == "zalogowany")
  22.    {
  23.       include("include/header.php");
  24.    }
  25.  else
  26.    {
  27.       $txt.="<FORM action=\"index.php\" method=\"POST\">";
  28. 	$txt.="<TABLE align=\"center\" bgcolor=\"#fffaaa\" border=\"0\" width=\"350px\" CELLPADDING=\"2\" CELLSPACING=\"2\">";
  29.         $txt.="<TR>
  30.           <TD>
  31.             <h2>". __('login_nazwa')."</h2>
  32.             ".__('login_login')."<br />
  33.             <input type=\"textbox\" name=\"u\" size=\"15\">
  34.           </TD>
  35.         </TR>
  36.         <TR>
  37. 	     <TD>".__('login_pass')."<br />
  38. 	       <input type=\"password\" name=\"p\" size=\"15\">
  39. 	       <input type=\"hidden\" name=\"log\">
  40. 	     </TD>
  41.         </TR>
  42.         <TR>
  43.            <TD>
  44.              <br />
  45.              <input class=\"wyslij_formularz\" align=\"center\" type=\"submit\" name=\"submit\" value=\"".__('login_zaloguj')."\">
  46. 	     </TD>
  47. 	</form>";
  48.  
  49.         if (isset($_POST['log']))
  50.           {
  51.             #--pobranie danych dotyczących logowania
  52.             $login = $_POST['u'];
  53.             $pass =  $_POST['p'];
  54.             #--sprawdzenie czy wsyzstkie dane są wpisane
  55.             if(empty($login) || empty($pass))
  56.                 {
  57.                            $txt.="<tr><td>";
  58.                            $txt.=__('login_blad');
  59.                            $txt.="</td></tr>";
  60.                 }
  61.               else
  62.                 {
  63.                   #--kodowanie hasła
  64.                   $login = trim(strip_tags(mysql_real_escape_string(HTMLSpecialChars($login))));
  65.                   $pass = trim(strip_tags(mysql_real_escape_string(HTMLSpecialChars($pass))));
  66.                   $pass = sha1($pass);
  67.  
  68.                   require("!konfiguracja/bd.php");
  69.                   $logowanie=mysql_query("SELECT u_id FROM users WHERE u_login='$login' AND u_haslo='$pass'");
  70.                       if(mysql_num_rows($logowanie)==0)
  71.                         {
  72.                            $txt.="<tr><td>";
  73.                            $txt.=__('login_blad2');
  74.                            $txt.="</td></tr>";
  75.                         }
  76.                       else
  77.                         {
  78.                            $row = mysql_fetch_array($logowanie);
  79.                            $_SESSION['login'] = "zalogowany";
  80.                            $_SESSION['id'] = $row['u_id'];
  81.                            $_SESSION['ip'] = $_SERVER['REMOTE_ADDR'];
  82.                            header("Location:index.php");
  83.                         }
  84.  
  85.                  }
  86.              }
  87.      $txt.="</table>";
  88.      echo $txt;
  89.    }
  90.  
  91. ?>
[PHP] pobierz, plaintext