poniżej jest mój przykładowy skrypt.
skrypt dostępny po zalogowaniu, hasła przechowuje w bazie danych

Pytanie mam na ile to jest bepieczne, albo co powinienem zrobić zmienić żeby uniknąć "nieprzyjemności"

[PHP] pobierz, plaintext 
  1. [/php]
  2.  
  3. <?php require("check.php");
  4.  
  5. $uzytkownik = $_SESSION["uzytkownik"];
  6. echo $uzytkownik;
  7. // nawiazujemy polaczenie
  8. $connection = @mysql_connect('', '', '')
  9. // w przypadku niepowodznie wyświetlamy komunikat
  10. or die('Brak połączenia z serwerem MySQL.<br />Błąd: '.mysql_error());
  11. // połączenie nawiązane ;-)
  12. //echo "Udało się połączyć z serwerem!<br />";
  13. // nawiązujemy połączenie z bazą danych
  14. $db = @mysql_select_db('', $connection)
  15. // w przypadku niepowodzenia wyświetlamy komunikat
  16. or die('Nie mogę połączyć się z bazą danych<br />Błąd: '.mysql_error());
  17. // połączenie nawiązane ;-)
  18. //echo "Udało się połączyć z bazą dancych!";
  19. /* zapytanie do konkretnej tabeli */
  20. $wynik = mysql_query("SELECT * FROM users WHERE user_login = '$uzytkownik'")
  21. or die('Błąd zapytania');
  22.  
  23. $r = mysql_fetch_assoc($wynik); 
  24. //echo $r['user_upr'];
  25.  
  26. $_SESSION["uprawnienia"] = $r['user_upr'];
  27.  
  28. mysql_close($connection);
  29. ?>
  30.  
  31.  
  32. <?php require("check.php");
  33.  
  34.  
  35. // nawiazujemy polaczenie
  36. $connection = @mysql_connect('', '', '')
  37. // w przypadku niepowodznie wyświetlamy komunikat
  38. or die('Brak połączenia z serwerem MySQL.<br />Błąd: '.mysql_error());
  39. // połączenie nawiązane ;-)
  40. //echo "Udało się połączyć z serwerem!<br />";
  41. // nawiązujemy połączenie z bazą danych
  42. $db = @mysql_select_db('', $connection)
  43. // w przypadku niepowodzenia wyświetlamy komunikat
  44. or die('Nie mogę połączyć się z bazą danych<br />Błąd: '.mysql_error());
  45. // połączenie nawiązane ;-)
  46. //echo "Udało się połączyć z bazą dancych!";
  47.  
  48.  
  49.  
  50. /* zapytanie do konkretnej tabeli */
  51. $wynik = mysql_query("SELECT * FROM serwis_zlecenie, klienci WHERE serwis_zlecenie.zrealizowane = 0 AND serwis_zlecenie.IDklienci = klienci.IDklienci ORDER BY `nr` ASC")
  52. or die('Błąd zapytania');
  53.  
  54. /*
  55. wyświetlamy wyniki, sprawdzamy,
  56. czy zapytanie zwróciło wartość większą od 0
  57. */
  58.  
  59. $uprawnienia = $_SESSION["uprawnienia"];
  60.  
  61. if($uprawnienia==1)
  62. {
  63.  
  64. //panel admina
  65. if(mysql_num_rows($wynik) > 0) {
  66.     /* jeżeli wynik jest pozytywny, to wyświetlamy dane */
  67.     echo "<table cellpadding=\"2\" border=1>";
  68. 		        echo "<tr>";
  69.         echo "<td>nr</td>";
  70.         echo "<td>data</td>";
  71. 				echo "<td>Nazwa</td>";
  72.         echo "<td>osoba_przyjmujaca</td>";
  73.         echo "<td>nazwa_urzadzenia</td>";
  74.         echo "<td>nr_fabryczny</td>";
  75.         echo "<td>adres_klienta</td>";
  76.         echo "<td>kontakt_klienta</td>";
  77.         echo "<td>gwarancja</td>";
  78.         echo "<td>opis</td>";
  79.         echo "<td>uwagi</td>";
  80.         echo "<td>termin_realizacji</td>";
  81.         echo "</tr>";
  82.  
  83.  
  84.     while($r = mysql_fetch_assoc($wynik)) {
  85.         echo "<tr>";
  86.         echo "<td>".$r['nr']."</td>";
  87.         echo "<td>".$r['data']."</td>";
  88. 				echo "<td>".$r['Nazwa']."</td>";
  89.         echo "<td>".$r['osoba_przyjmujaca']."</td>";
  90.         echo "<td>".$r['nazwa_urzadzenia']."</td>";
  91.         echo "<td>".$r['nr_fabryczny']."</td>";
  92.         echo "<td>".$r['adres_klienta']."</td>";
  93.         echo "<td>".$r['kontakt_klienta']."</td>";
  94.         echo "<td>".$r['gwarancja']."</td>";
  95.         echo "<td>".$r['opis']."</td>";
  96.         echo "<td>".$r['uwagi']."</td>";
  97.         echo "<td>".$r['termin_realizacji']."</td>";
  98.         echo "<td>
  99.        <a href=\"serwis_edit.php?a=edit&amp;nr={$r['nr']}\">EDIT</a>
  100.        </td>";
  101.         echo "</tr>";
  102.     }
  103.     echo "</table>";
  104. }
  105. }
  106.  
  107. if($uprawnienia==0)
  108. {
  109. //panel handlowca
  110. if(mysql_num_rows($wynik) > 0) {
  111.     /* jeżeli wynik jest pozytywny, to wyświetlamy dane */
  112.     echo "<table cellpadding=\"2\" border=1>";
  113.     while($r = mysql_fetch_assoc($wynik)) {
  114.         echo "<tr>";
  115.         echo "<td>".$r['nr']."</td>";
  116.         echo "<td>".$r['data']."</td>";
  117.         echo "<td>".$r['osoba_przyjmujaca']."</td>";
  118.         echo "<td>".$r['nazwa_urzadzenia']."</td>";
  119.         echo "<td>".$r['nr_fabryczny']."</td>";
  120.         echo "<td>".$r['nazwa_klienta']."</td>";
  121.         echo "<td>".$r['adres_klienta']."</td>";
  122.         echo "<td>".$r['kontakt_klienta']."</td>";
  123.         echo "<td>".$r['gwarancja']."</td>";
  124.         echo "<td>".$r['opis']."</td>";
  125.         echo "<td>".$r['uwagi']."</td>";
  126.         echo "<td>".$r['termin_realizacji']."</td>";
  127.         echo "</tr>";
  128.     }
  129.     echo "</table>";
  130. }
  131. }
  132. mysql_close($connection);
  133. ?>
  134.  
  135. [php]
[PHP] pobierz, plaintext