Plik login.php

[PHP] pobierz, plaintext 
     <?php
 
     session_start();
 
     include('connect.php');
 
     $login = $_POST['login'];
     $haslo = $_POST['password'];
 
     $zapytanie = mysql_query("SELECT login FROM user WHERE login = '$login'");
     $wynik_zapytania = mysql_fetch_array($zapytanie);
 
     if ($wynik_zapytania[0] != $login) {
         echo 'User nie istnieje';
     }else{
        $zapytanie = mysql_query("SELECT password FROM user WHERE login = '$login'");
        $wynik_zapytania = mysql_fetch_array($zapytanie);
 
        if ($haslo == $wynik_zapytania[0]) {
 
            $_SESSION["logged"] = true;
            header('Location: index.php');
 
        }
        else{
            header('Location: admin_login.php');
        }
     }
 
    ?>
[PHP] pobierz, plaintext 

Mój problem to kiedy w formularzu logowania nie wpisze nic to przekierowuje mnie na strone docelową. Co tu źle napisałem?

[PHP] pobierz, plaintext 
if ( trim($login) != '' && trim($haslo) != '' ) ... // to dopiero sprawdzaj dane w bazie
[PHP] pobierz, plaintext 

Druga sprawa - w żaden sposób nie walidujesz tego co ktoś wpisał tylko od razu szukasz w bazie, to się może źle skończyć. NIGDY nie ufa się danym z zewnątrz. ZAWSZE zakłada się, że mogą być złośliwe.
Porada - użyj PDO i prepared statements w miejsce funkcji mysql_*.

Lub coś takiego

[PHP] pobierz, plaintext 
 
  $login = mysql_real_escape_string(trim($_POST['login']));
  $haslo = mysql_real_escape_string(trim($_POST['password']));
 
   // sprawdzamy czy wszystkie pola zostały wypełnione
        if(empty($login) || empty($haslo)) {
            echo '<p>Musisz podać login i hasło.</p>';
        } elseif ....
[PHP] pobierz, plaintext 

Jeszcze jedno czy takie zabezpieczenie podstron wystarczy?

[PHP] pobierz, plaintext 
<?php
session_start();
    if(!isset($_SESSION['logged']))
    {
        header('Location: admin_login.php');
        die();
    }
 
?>
[PHP] pobierz, plaintext