Proszę o ocenę prostego systemu wiadomości prywatnych wykorzystującego bazę danych.

Struktura tabeli mysql:

Pole msg_czyja pozwala zidentyfikować kto napisał wiadomość. Przy wysłaniu wiadomości powstają dwa wpisy do bazy... msg_czyja = 1 - wiadomość wyświetlana w skrzynce nadawczej nadawcy, msg_czyja = 0 - wiadomość wyświetlana w skrzynce odbiorczej odbiorcy.

Skrypt wysyłający wiadomość:

[PHP] pobierz, plaintext 
<?php
session_start(); //start sesji
ob_start();
require_once('connect.php');
require_once('funkcje/skrypty.php');
?>
 
<html>
<head>
<title>wylij wiadomoć</title>
<?php include('tpl/head.php') ?>
</head>
<body>
<?php include('tpl/naglowek.php') ?>
 
<div id="srodek">
 
<?
if (isset($_SESSION['login']) & isset($_SESSION['user_id']))
{ //jeżeli użytkownik jest zalogowany:
        $nadawca = mysql_real_escape_string(htmlspecialchars($_SESSION['login']));
        $odbiorca =  mysql_real_escape_string(strip_tags(htmlspecialchars($_GET['who'])));
        //sprawdzenie czy zmienna w GET jest liczba:
        $fotoid = intval($_GET['id']);
        //sprawdzenie czy istnieje taki odbiorca:
        list($records) = mysql_fetch_row(mysql_query("SELECT count(*) FROM users WHERE login='$odbiorca'"));
 
        if ($fotoid == '0' or $records == '0' or $fotoid == NULL)
        {
                echo "Błędny adres strony.";
        }
        else
        {
                if ($_POST['wiadomosc'])
                { //sprawdzenie wprowadzonych przez uzytkownika danych do formularza wiadomosci:
                        if ($_POST['tresc'] == NULL)
                        {
                                $error1 = "Wpisz tresc wiadomosci";
                        }
                        else
                        {
                                $wyslij ="OK";
                        }
                }
 
                if (isset($wyslij))
                { //jeżeli wszystko jest OK to wiadomosc jest dodawana do bazy:
                        $wiadomosc = mysql_real_escape_string(strip_tags(htmlspecialchars($_POST['tresc'])));
 
                        //Wiadomoć do skrzynki odbiorczej odbiorcy -> czyja=0, wiadomoć do skrzynki nadawczej nadawcy -> czyja =1
                        $dodaj_nad = "INSERT INTO `msg`(`msg_id`, `msg_temat`, `msg_tresc`, `msg_nadawca`, `msg_odbiorca`, `msg_przeczytane`, `msg_data`, `msg_czyja`)
                        VALUES ('', 'Wiadomość prywatna', '$wiadomosc', '$nadawca', '$odbiorca', '0', DATE_ADD(NOW(),INTERVAL 6 HOUR), '1')";
                        $dodaj_odb = "INSERT INTO `msg`(`msg_id`, `msg_temat`, `msg_tresc`, `msg_nadawca`, `msg_odbiorca`, `msg_przeczytane`, `msg_data`, `msg_czyja`)
                        VALUES ('', 'Wiadomość prywatna', '$wiadomosc', '$nadawca', '$odbiorca', '0', DATE_ADD(NOW(),INTERVAL 6 HOUR), '0')";
 
                        //Dodanie wiadomoci do BD:
                        mysql_query($dodaj_nad) or die("Dodanie wiadomoci -nadanej- nie powiodło się.");
                        mysql_query($dodaj_odb) or die("Dodanie wiadomoci -odebranej- nie powiodło się.");
 
			//komunikat o powodzeniu i przekierowanie do profilu uzytkownika do ktorego poszla wiadomosc
                        echo 'Wiadomosc zostala pomylnie wyslana do uzytkownika <b>', $odbiorca, '</b>';
                        header ("refresh:1;url=index.php?share=".$fotoid."");
 
                }
                else
                { //jeżeli są błędy w formularzu lub pierwszy raz formularz został wywietlony:
                        //komunikat dot. kont premium
                        $premium = mysql_fetch_array(mysql_query("SELECT `premium` FROM `users` WHERE `login`='$odbiorca'"));
                        if ($premium['premium'] == '0') echo '<br /><br /><br /><div id="alert">Próbujesz wysłać wiadomość do użytkownika, który nie posiada konta premium.<br />
                                                                Będzie on widział otrzymaną od Ciebie wiadomość, jednakże nie będzie mógł jej przeczytać dopóki nie uaktywni usługi premium.</div><br /><br />';
?>
 
<center>
<form action="wiadomosc.php?who=<? echo $odbiorca; ?>&id=<? echo $fotoid; ?>" method="post">
<table>
        <tr>
                <td>Wyslij wiadomosc do uzytkownika <? echo $odbiorca; ?></td>
        </tr>
        <tr>
                <td><textarea name="tresc" rows="4" cols="80"></textarea></td>
        </tr>
        <tr>
                <td><? if (isset($error1)) echo '<img src="img/error.png"><font size="2" color="red">&nbsp;&nbsp;' , $error1 , '</font>'; ?></td>
        <tr>
                <td><input type="submit" name="wiadomosc" value="Wyślij" class="button" /></td>
        </tr>
</table>
</form>
</center>
<br /><br />
 
<?
                }
        }
}
else
{ //jeżeli użytkownik nie jest zalogowany:
        echo "Wiadomoci wysyłać mogą tylko zarejestrowani i zalogowani użytkownicy.";
}
?>
 
</div>
 
<?php include('tpl/stopka.php'); ?>
 
</body>
</html>
<?php ob_end_flush(); ?>
[PHP] pobierz, plaintext 

Skrypt wyświetlający wiadomość w kolejnym poście, gdyż aktualne jest za długi... ->

Skrypt wyświetlający wiadomość:

[PHP] pobierz, plaintext 
<?
if ($_GET['box'] == "out")
{ //zmienna w GET wskazuje na skrzynkę nadawczą:
        //Tworzymy menu dla skrzynki wiadomosci wyslanych:
        echo '<div id="wiadomosci_menu"><ul>';
        echo '<li><a href="profil.php?set=messages&box=in" />Skrzynka odbiorcza</a></li>';
        echo '<li class="selected"><a href="profil.php?set=messages&box=out" />Wiadomoci wysłane</a></li>';
        echo '</ul></div>';
 
        $nadawca = $users['login']; //tablica users tworzona jest w pliku php który includuje ten kod
 
        if (isset($_GET['show']))
        { //jeżeli zmienna GET['show'] jest przesłana w linku to wyswietlamy wiadomosc o przesłanym id (jako wartoc GET[show]:
                $msgid = intval($_GET['show']);
                if ($msgid == '0')
                { //jezeli zmienna show nie jest liczba to komunikat o bledzie
                        echo "Błędny identyfikator wiadomoci!";
                }
                else
                { //jezeli jest liczba to laczymy sie z baza i wyciagamy dane o wiadomosci
                        $connect = mysql_query("SELECT * FROM `msg` WHERE `msg_id`='$msgid' AND `msg_nadawca`='$nadawca' AND `msg_czyja`='1'");
                        $records =  mysql_num_rows($connect);
                        if ($records == '1')
                        { //jezeli w bazie danych jest wiadomosc o przeslanym id i o okreslonym odbiorcy i ma zmienna czyja=0:
                                $dane = mysql_fetch_array($connect);
                                echo '<div id="show_msg"><div id="show_oddo">Wiadomoć od:  ', $dane['msg_odbiorca'], '</div>';
                                echo '<div id="show_tresc">', nl2br($dane['msg_tresc']), '</div></div>';
 
				//oznaczenie wiadomoci jako przeczytana:
                                mysql_query("UPDATE `msg` SET `msg_przeczytane`='1' WHERE `msg_id`='$msgid' AND `msg_nadawca`='$nadawca' AND `msg_czyja`='1'")
                                or die("Błąd -oznaczenia- wiadomoci");
                        }
                        else
                        { //jezeli nie ma takiej wiadomoci to komunikat o bledzie
                                echo "Brak wiadomoci o podanym identyfikatorze!";
                        }
                }
        }
        else
        { //jeżeli zmienna GET[show] jest pusta to wyswietlamy wiadomoci wysłane
                //Wyswietlanie wiadomosci wyslanych:
                echo '<div id="wiadomosci">';
                $temp = mysql_query("SELECT * FROM msg WHERE msg_nadawca='$nadawca' AND msg_czyja='1' ORDER BY msg_data DESC");
                $ile = mysql_num_rows($temp);
 
                //pierwszy wiersz z oznaczeniami nazw kolumn:
                echo '<br /><br /><b><div class="msg">';
                echo '<div class="msg_id">ID</div>';
                echo '<div class="msg_oddo">Odbiorca</div>';
                echo '<div class="msg_temat">Temat</div>';
                echo '<div class="msg_data">Data</div>';
                echo '</div></b><div style="clear: both;"></div><br /><br />';
 
                if ($users['premium'] == '0')
                { //jeżeli uztkownik nie ma premium to komunikat i zachęta do zakupu
                        echo "Tylko użytkownicy premium mają dostęp do systemu wiadomoci.<br />Aktywuj usługę premium i korzystaj z systemu wiadomoci -link- !";
		}
		else
		{ //jeżeli ma premium to wyswietlamy wiadomosci
                	if ($ile == 0)
                	{
                        	echo "<br /><br />Nie masz zadnych wyslanych wiadomosci.";
                	}
                	else
                	{
                        	$x = 0;
                        	while ($msg = mysql_fetch_array($temp))
                        	{
                                	if ($msg['msg_przeczytane'] == '0') { $b = "<b>"; $bb = "</b>"; }
                                	echo '<div class="msg">', $b;
                                	echo '<a href="profil.php?set=messages&box=out&show=', $msg['msg_id'], '" />';
                                	echo '<div class="msg_id">', $x+1, '</div>';
                                	echo '<div class="msg_oddo">', $msg['msg_odbiorca'], '</div>';
                                	echo '<div class="msg_temat">', $msg['msg_temat'], '</div>';
                                	echo '<div class="msg_data">', $msg['msg_data'], '</div>', $bb;
                                	echo '</a>';
                                	echo '</div><div style="clear: both;"></div>';
                                	$x = $x+1;
                        	}
                	}
        	}
        	echo '</div>';
	}
}
else
{ //tutaj skrzynka odbiorcza:
 
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
else
{
        //Tworzymy menu dla skrzynki odbiorczej:
        echo '<div id="wiadomosci_menu"><ul>';
        echo '<li class="selected"><a href="profil.php?set=messages&box=in" />Skrzynka odbiorcza</a></li>';
        echo '<li><a href="profil.php?set=messages&box=out" />Wiadomoci wysłane</a></li>';
        echo '</ul></div>';
 
        $odbiorca = $users['login'];
 
        if (isset($_GET['show']))
        { //jeżeli zmienna GET['show'] jest przesłana w linku to wyswietlamy wiadomosc o przesłanym id:
                $msgid = intval($_GET['show']);
                if ($msgid == '0')
                { //jezeli zmienna show nie jest liczba to komunikat o bledzie
                        echo "Błędny identyfikator wiadomoci!";
                }
                else
                { //jezeli jest liczba to laczymy sie z baza i wyciagamy dane o wiadomosci
                        $connect = mysql_query("SELECT * FROM `msg` WHERE `msg_id`='$msgid' AND `msg_odbiorca`='$odbiorca' AND `msg_czyja`='0'");
                        $records =  mysql_num_rows($connect);
                        if ($records == '1')
                        { //jezeli w bazie danych jest wiadomosc o przeslanym id i o okreslonym odbiorcy i ma zmienna czyja=0:
                                $dane = mysql_fetch_array($connect);
                                echo '<div id="show_msg"><div id="show_oddo">Wiadomoć od:  ', $dane['msg_nadawca'], '</div>';
                                echo '<div id="show_tresc">', nl2br($dane['msg_tresc']), '</div></div>';
 
                                mysql_query("UPDATE `msg` SET `msg_przeczytane`='1' WHERE `msg_id`='$msgid' AND `msg_odbiorca`='$odbiorca' AND `msg_czyja`='0'")
                                or die("Błąd -oznaczenia- wiadomoci");
                        }
                        else
                        { //jezeli nie to komunikat o bledzie
                                echo "Brak wiadomoci o podanym identyfikatorze!";
                        }
                }
        }
        else
        {
                //Wyswietlanie wiadomosci w skrzynce odbiorczej:
                echo '<div id="wiadomosci">';
                $temp = mysql_query("SELECT * FROM msg WHERE msg_odbiorca='$odbiorca' AND msg_czyja='0' ORDER BY msg_data DESC");
                $temp_admin =  mysql_query("SELECT * FROM msg WHERE msg_odbiorca='$odbiorca' AND msg_nadawca='Administracja' AND msg_czyja='0' ORDER BY msg_data DESC");
                $ile = mysql_num_rows($temp);
 
                //pierwszy wiersz z oznaczeniami nazw kolumn:
                echo '<br /><br /><b><div class="msg">';
                echo '<div class="msg_id">ID</div>';
                echo '<div class="msg_oddo">Nadawca</div>';
                echo '<div class="msg_temat">Temat</div>';
                echo '<div class="msg_data">Data</div>';
                echo '</div></b><div style="clear: both;"></div><br /><br />';
 
                if ($users['premium'] == '0')
                { //jeżeli uztkownik nie ma premium to wyswietlam wiadomosci od admina, komunikat i zachęta do zakupu
                        $x = 0;
                        while ($admin = mysql_fetch_array($temp_admin))
                        {
                                if ($admin['msg_przeczytane'] == '0') { $b = "<b>"; $bb = "</b>"; }
                               	echo '<div class="msg">', $b;
                               	echo '<a href="profil.php?set=messages&box=in&show=', $admin['msg_id'], '" />';
                               	echo '<div class="msg_id">', $x+1, '</div>';
                               	echo '<div class="msg_oddo">', $admin['msg_nadawca'], '</div>';
                               	echo '<div class="msg_temat">', $admin['msg_temat'], '</div>';
                               	echo '<div class="msg_data">', $admin['msg_data'], '</div>', $bb;
                               	echo '</a>';
                               	echo '</div><div style="clear: both;"></div>';
                               	$x = $x+1;
			}
                        echo "<br /><br />Tylko użytkownicy premium mają dostęp do systemu wiadomoci.<br />Aktywuj usługę premium i korzystaj z systemu wiadomoci -link- !";
		}
		else
		{ //jeżeli ma premium to wyswietlamy wiadomosci
                	if ($ile == 0)
                	{
                        	echo "<br /><br />Nie masz zadnych wiadomosci w skrzynce odbiorczej.";
                	}
                	else
                	{
                 		$x = 0;
                        	while ($admin = mysql_fetch_array($temp_admin))
                        	{ //wyswitla wiadomosci od administracji jako pierwsze
                                	if ($admin['msg_przeczytane'] == '0') { $b = "<b>"; $bb = "</b>"; }
                               		echo '<div class="msg">', $b;
                               		echo '<a href="profil.php?set=messages&box=in&show=', $admin['msg_id'], '" />';
                               		echo '<div class="msg_id">', $x+1, '</div>';
                               		echo '<div class="msg_oddo">', $admin['msg_nadawca'], '</div>';
                               		echo '<div class="msg_temat">', $admin['msg_temat'], '</div>';
                               		echo '<div class="msg_data">', $admin['msg_data'], '</div>', $bb;
                               		echo '</a>';
                               		echo '</div><div style="clear: both;"></div>';
                               		$x = $x+1;
				}
                        	$y = 0;
                        	while ($msg = mysql_fetch_array($temp))
                        	{ //wyswietla wiadomosci od usytkowników
                                	if ($msg['msg_przeczytane'] == '0') { $b = "<b>"; $bb = "</b>"; }
                                	echo '<div class="msg">', $b;
                                	echo '<a href="profil.php?set=messages&box=in&show=', $msg['msg_id'], '" />';
                                	echo '<div class="msg_id">', $y+1, '</div>';
                                	echo '<div class="msg_oddo">', $msg['msg_nadawca'], '</div>';
                                	echo '<div class="msg_temat">', $msg['msg_temat'], '</div>';
                                	echo '<div class="msg_data">', $msg['msg_data'], '</div>', $bb;
                                	echo '</a>';
                                	echo '</div><div style="clear: both;"></div>';
                                	$y = $y+1;
                        	}
			}
                }
                echo '</div>';
        }
}
?>
[PHP] pobierz, plaintext 

Kilka błędów:
1. To się w ogóle nie nadaje do oceny. Masz już z góry określone jak ma się to wyświetlać. To się nadaje do działu PHP co najwyżej.
2. Zdecyduj się przy pisaniu skryptów, albo wszystko po angielsku, albo wszystko po polsku.
3. Błędne kodowanie - nie widzisz krzaków jak wrzuciłeś tutaj te skrypty?
4. Przy wysyłaniu nie sprawdzasz czy dany user ma dane id - sprawdzasz tylko czy istnieje taki wpis w sesji. Jak będzie np user maciek o id 2, to równie dobrze ten user maciek może być o id 3, chociaż to dwa zupełnie inne user'y. Tak samo w isset($wyslij) - wiesz do czego służy ta funkcja? Zamiast robić isset, to porównuj.
5. Podczas dodawania ID wiadomości nie wstawiaj jej w insercie, tylko niech to się dzieje automatycznie po stronie bazy -> patrz autoincrement który ma z resztą ustawiony.
6. Co robi jakieś

[PHP] pobierz, plaintext 
$fotoid = intval($_GET['id']);
[PHP] pobierz, plaintext 

lub

[PHP] pobierz, plaintext 
header ("refresh:1;url=index.php?share=".$fotoid."");
[PHP] pobierz, plaintext 

? To jest skrypt wysyłania wiadomości, czy coś związane ze zdjęciami?
7. mysql_query($dodaj_nad) or die("Dodanie wiadomoci -nadanej- nie powiodło się."); mysql_query($dodaj_odb) or die("Dodanie wiadomoci -odebranej- nie powiodło się.");
A jeśli dodanie wiadomości NADANEJ się nie uda, a ODEBRANEJ się uda, to co wtedy?
8. Dublujesz sobie dane. Musisz zrobić 2 inserty na tą samą wiadomość - dodaje sobie kolumnę, kto wysłał wiadomość a kto odebrał (numery id userów)
9. I po co jakiś premium, który bez dodatkowej implementacji nie zadziała?

@ up

3. Krzaki widnieją z powodu zastosowanego kodowania UTF-8.
4. Trzeba nieco dopracować zabezpieczenia sesji.

4.a. Jeżeli chodzi o isset($wyslij) to dotyczy to przesłania formularza wysyłania wiadomości. Jeżeli "submit" zostanie kliknięte to zmienna $wyślij nie będzie pusta. Czy zatem istnieje sens sprawdzania czy ma ona wartość taką jak button "submit"?

5. Autoincrement ustawione jest dla kolumny 'msg_id' i jest ono zwiększane automatycznie. W Insercie jest dla tej kolumny (' ', ...).
6. Ten system jest częścia mini serwisu, gdzie prowadzona jest ocena zdjęć. Przy wyświetlanym zdjęciu jest link do wysłania wiadomości użytkownikowi - autorowi zdjęcia. Link ten przekazuje id zdjęcia, przez co po wysłaniu wiadomości następuje automatyczne przekierowanie do poprzedniego zdjęcia - funkcją header.

7. Fakt... trafna uwaga. Czy zapis mysql_query($dodaj_odb, $dodaj_nad) or die(...) będzie poprawny?

8. Dodaje dwa wiersze różniące sie tylko jedną kolumną z tego względu, że jeżeli jedna ze stron (nadawca - odbiorca) skasuje wiadomość to druga strona, którą ją zachowa będzie wiadomość wciąż widzieć. Innym rozwiązaniem byłoby stworzenie dwóch tabel: na wiadomości wysłane i odebrane, jednakże nie jestem pewien, które jest wydajniejsze.
9. Informacje o premium przechowywane są w osobnej tabeli w bazie danych. Tutaj widnieje jedynie sprawdzenie czy premium jest aktywne i w zależności od wyniku istnieje możliwość "wstępu" do systemu wiadomości bądź też nie.