[PHP] pobierz, plaintext 
<?php
/**********
Skrypt logowania
***********/
session_start();
$login = htmlspecialchars($_POST['login']);
$haslo = htmlspecialchars($_POST['haslo']);
function polacz() //łączenie z bazą danych
{
	$poloczenie = new mysqli('X', 'X', 'X', 'X');
	$poloczenie->query("Set NAMES latin2");
	 if(!$poloczenie)
	  echo 'Błąd połączenie z bazą danych, przepraszamy za utrudnienia!'.mysqli_connect_error;
	$poloczenie->AUTOCOMMIT(TRUE);
	 return $poloczenie;
}
?>
 
<?php
	function zakoncz_polacz() {
		$poloczenie->close();
		}
?>
 
<?php
	function loguj($login, $haslo) {	  //logowanie
		$lacz = polacz();
		$wynik = $lacz->query("select * from admin where login='$login' and haslo=sha1('$haslo')");
		if (!$wynik)
			echo 'Nie odnaleziono tego użytkownika w bazie danych, zaloguj się ponownie';
		if ($wynik->num_rows>0)
			return true;
		else
			echo 'Logowanie nie powiodło się';
			}
 
?>
<?php
	function sprawdzenie_danych() {
		if (isset($_SESSION['admin']))
		 echo 'Zalogowano jako: '.$_SESSION['admin'];
		 }
?>
 
<?php					//właściwa część skryptu
	loguj($login, $haslo);
	$_SESSION['admin'] = $_POST['login'];
	sprawdzenie_danych();
?>
[PHP] pobierz, plaintext 

i mam pytania odnośnie powyższego kodu.
Po co tak właścwie są te sesje w logowaniu? Co mi to daje? np to:

[PHP] pobierz, plaintext 
<?php
if (isset($_SESSION['admin']))
		 echo 'Zalogowano jako: '.$_SESSION['admin'];
		 }
?>
[PHP] pobierz, plaintext 

Oraz, czy powyższy skrypt jest bezpieczny? Jak go ulepszyć?

session" title="Zobacz w manualu PHP" target="_manual - właśnie po to one są

Na przykład przez session_regenerate_id()

I nieustawianie takiego cuda bez warunku

[PHP] pobierz, plaintext 
<?php
$_SESSION['admin'] = $_POST['login'];
?>
[PHP] pobierz, plaintext 

Na razie bowiem jeśli to wygląda tak jak napisałeś nie masz żadnego zabezpieczenia, zawsze zaloguje.

Możliwość przechowywania danych o użytkowniku w wygodny i dość bezpieczny sposób po stronie serwera?

dzięki. Ale nie wiem jak zabezpieczyć tą sesję tzn no bo nie wiem czy to będzie ok?:

[PHP] pobierz, plaintext 
<?php					//właściwa część skryptu
	loguj($login, $haslo);
	if ($wynik->num_rows>0) {
	$_SESSION['admin'] = $_POST['login'];
	}
	sprawdzenie_danych();
?>
[PHP] pobierz, plaintext 

ale po co ten kod skoro w tej funkcji loguj też mam:

[PHP] pobierz, plaintext 
<?php
if ($wynik->num_rows>0)
			return true;
?>
[PHP] pobierz, plaintext 

W taki razie po co drugi raz to samo? Może się mylę, nie wiem?

Nie drugi raz to samo, prześledz sobie swój dziurawy do tej pory kod.

[PHP] pobierz, plaintext 
<?php
loguj($login, $haslo);
	$_SESSION['admin'] = $_POST['login'];
	sprawdzenie_danych();
?>
[PHP] pobierz, plaintext 

Wywołujesz funkcję, która sprawdza login i hasło, zwraca true albo false, które możesz wsadzić aktualnie komukolwiek we wrażliwą część część ciała (o ile go nie lubisz oczywiście ^^), bo funkcja równie dobrze mogłaby nie zwracać zupełnie nic i skrypt działałby dokładnie tak samo.

Alternatywa:

[PHP] pobierz, plaintext 
<?php
if(loguj($login, $haslo) === true) {
// kod który ma być wykonywany po podaniu poprawnych danych
}
?>
[PHP] pobierz, plaintext 

Widzisz różnicę? W pierwszym nigdzie nie sprawdzasz co zwraca funkcja. Po prostu ją wykonujesz i przestaje Cię interesować jej wynik - tak to wygląda z kodu. W drugim podanym przeze mnie sprawdza się, co funkcja zwraca - jeśli zwróci true można ustawić zmienną sesyjną.