Witajcie.
Proszę o rzucenie okiem na ten skrypt rejestracji, czy jest on poprawnie napisany i czy jest on przede wszystkim bezpieczny.

Tak jak już wcześniej pisałem, próbuje nauczyć się prawidłowego pisania skryptów w php dlatego będę wdzięczny za wskazanie błędów.

1. rejestracja.php ( formularz rejestracji. Tylko HTML. )

[HTML] pobierz, plaintext 
<form action="zarejestruj.php" method="post">
 
<table border="0">
<tr>
<td>Login:</td>
<td><label>
  <input type="text" name="login" id="login" />
</label></td>
</tr>
<tr>
<td>Hasło:</td>
<td><label>
  <input type="password" name="haslo" id="haslo" />
</label></td>
</tr>
<tr>
<td>Powtórz hasło: </td>
<td><label>
   <input type="password" name="haslo2" id="haslo2" />
</label></td>
</tr>
<tr>
<td>Adres e-mail</td>
<td><label>
  <input type="text" name="email" id="email" />
</label></td>
</tr>
<tr>
<td>Login wspak*</td>
<td><label>
  <input type="text" name="loginwspak" id="loginwspak" />
</label></td>
</tr>
<tr>
<td></td>
<td><input type="submit" value="zarejestruj"/></td>
</tr>
</table>
</form>
 
* Login wspak - w tym polu należy wpisać swój logi od tyłu np: login0123, 3210nigol. <br>
  Zabezpiecznenie to ma na celuoc ochronę przed botami.
[HTML] pobierz, plaintext 

2. funkcje_podstawowe.php - wszystkie funkcje, które będą używane przy rejestracji.

[PHP] pobierz, plaintext 
<?php
 
function  Polacz() {
 
$nowe_polaczenie = mysql_connect("localhost", "root", "");
if (!$nowe_polaczenie)  {
    die("Połączenie z bazą danych nie jest możliwe.");
                       }
$wybierz_baze_danych =  mysql_select_db('bazadanych', $nowe_polaczenie);
if (!$wybierz_baze_danych) {
     die("Nie udało sie wybrać bazy danych."); 
                 }
                     }
 
/* Funkcja Połącz() służy do nawiązywania połączenia z bazą danych oraz wybierania bazy danych  
* oraz wybiera bazę danych, z którą chcemy pracować. 
* mysql_connect przyjmuje następujące argumenty ("ades serwera", "login", "hasło")
* mysql_select_db jako argument przyjmuje nazwę bazy danych, z która ma zostać nawiązane 
* połączzeni. 
*
* W przypadku gdy nawiązanie połączenia z bazą danych lub wybór bazy danych zakończy 
* się niepowodzeniem zostanie wyświetlony odpowiedni komunikat. 
*/ 
 
function sprawdzanie_poprawnosci_hasla ($hasło, $hasło2){
if ($hasło != $hasło2) {
        return("Pola hasło i powtórz hasło muszą być identyczne."); 
		             }
elseif (strlen($hasło)<6) {
         return("Hasło musi zawierać przynajmniej 6 znaków."); 
	                   }
 elseif (!preg_match('#^[0-9a-zA-ząźżćśóꥏŻĆÓĘ ]+$#ui', $hasło)) {
 return("Hasło zawiera niedozwolone znaki. Hasło może składać się tylko z liter i cyfr."); 
                         }
elseif (!preg_match("/[0-9]/i", $hasło)) {
return("Hasło musi zawierać przynajmniej jedno cyfrę."); 
                            }
							else {
							return("Poprawny");
							        }
								                                    }
/* function sprawdzanie_poprawności_hasła przyjmuje dwa argumenty hasło, oraz powtórzone hasło.
* 1.Sprawdza czy oba hasła są identyczne. 
* 2.Sprawdza czy hasło zawiera przynajmniej 6 znaków. 
* 3. Sprawdza czy hasło składa się tylko z polskich liter małych i dużych oraz cyfer. 
* 4. Sprawdza czy hasło zawiera chociaż jedną cyfrę. 
* Jeśli, któryś z tych warunków nie będzie spłeniony zostanie zwrócony stosowany komunikat. 
* Jeśli wszystkie warunki zostaną spełonionę funkcja zwróci komuniakt: "Poprawny".  
*/
 
function sprawdzanie_poprawnosci_email($email) {
 
 
   	if(!preg_match('/^[a-zA-Z0-9\.\-\_]+\@[a-zA-Z0-9\.\-\_]+\.[a-z]{2,4}$/D', $email )){
      return("Wprowadzony przez Ciebie adres e-mail jest nieprawidłowy."); 	
	                                                      }
 
	$zapytanie = mysql_query(" SELECT 'login' FROM `users` WHERE mail= '$email' ");
    $liczba_wierszy = mysql_num_rows($zapytanie);
 
 
	if ($liczba_wierszy !=0 ) {
	     return("Ten adres e-mail znajduje się już w bazie danych."); 	
                   }
				    else {
			       return("Poprawny");
					          }
                                                                   }
 
/* 1.preg_match() sprawdza czy e-mail jest poprawny.  			           
/*2. Funkcja mysql_query wykonuje zapytanie do bazy danych. Pobiera z niej loginy przypisane do 
* 3.  danego adresu e-mail. 
* 4. mysql_num_rows() liczy ile wierwszy zwróciło zapytanie do bazy danych.  
* 5. Następnie sprawdzane jest czy taki adres już nie istnieje w bazie danych.    
*/
 
   function sprawdzanie_poprawnosci_loginu($login) {
 
  if (!preg_match('#^[0-9a-zA-ząźżćśóꥏŻĆÓĘ ]+$#ui', $login)) {
      return("Login niepoprawny. Login może składać się tylko z liter i cyfr!"); 
                         }
    elseif (strlen($login)>17) {
         return("Login jest za długi. Login może zawierać maksymalnie 16 znaków. "); 			 
                                                   }
 
	$zapytanie = mysql_query(" SELECT 'login' FROM `users` WHERE login= '$login' ");
    $liczba_wierszy = mysql_num_rows($zapytanie);	
 
  if ($liczba_wierszy !=0 ) {
          return("Ten login jest już zajęty przez innego użytkownika."); 	
                   }
		 else {
		 return("Poprawny");
		 }
 
 
														}
/* Funkcja sprawdza czy login składa się z dozwolonych znaków. ( cyfry, małe i duże litery ) 
*  Funkcja sprawdza czy login nie jest za długi. 
*  Funkcja sprawdza czy login jest wolny. 
*  Jeśli login jest porpawny, krótszy i niezajęty funkcja zwraca "Poprawny".
*/
 
 function antybot($login,$loginwspak) {
 
      if (strrev($login) != $loginwspak) {
	       return("Pole login wspak zostało wypełnione niepoprawnie. ");
                                      }
	   else {
		   return("Poprawny");
	                  }
						  }
 
 
?>
[PHP] pobierz, plaintext 

3. zarejestruj.php ( tutaj odbierany jest wcześniej wysłany formularz z pliku rejestracja.php )

[PHP] pobierz, plaintext 
<?php
if (  $_POST['login'] && $_POST['haslo'] != "" && $_POST['haslo2'] != ""  && $_POST['email'] != "" && $_POST['loginwspak'] != ""  ) {
 
/*Instrukcja if sprawdza czy zostaly wypelnione wszystkie pola. Jesli zostaly wkona sie caly 
* skrypt rejestracji. W przeciwnym przypadku zostanie wyswietlony komunikat "wszystkie pola musza *byc uzupelnione.
*/
require('funkcje_podstawowe.php'); 
Polacz();
$login = mysql_real_escape_string ($_POST['login']);
$haslo = mysql_real_escape_string ($_POST['haslo']);
$haslo2 = mysql_real_escape_string ($_POST['haslo2']);
$email = mysql_real_escape_string ($_POST['email']);
$loginwspak= mysql_real_escape_string ($_POST['loginwspak']);
 
$licznik_bledow = 0; 
/* require() wczytuje plik podstawowe_funkcje.php. 
* zmiannym login, haslo, haslo2,email, loginwspak zostaja przypisane dane pobrane 
* z tablicy POST i przefiltrowane za pomoca funkcji mysql_real_escape_string. 
* Zostaje utworzona nowa zmiena licznik_bledów o wartosci 0. 
* licznik_bledów bedzie zliczal ile pól zostalo wypelnionych przez uzytkownika niepoprawnie. 
*/
 
if ( sprawdzanie_poprawnosci_loginu($login) != "Poprawny" ) {
echo("<br>".sprawdzanie_poprawnosci_loginu($login)."<br>" );
$licznik_bledow ++;  
                                                 }
//Instrukcja sprawdza czy login jest poprawny. 
 
if ( sprawdzanie_poprawnosci_hasla($haslo,$haslo2) != "Poprawny" ) {
echo(sprawdzanie_poprawnosci_hasla($haslo,$haslo2)."<br>" );
$licznik_bledow ++;                                                     
                                               }
//Instrukcja sprawdza czy  jest hasla sa poprawne.. 											   
 
if  ( sprawdzanie_poprawnosci_email($email) != "Poprawny" ) {
echo( sprawdzanie_poprawnosci_email($email)."<br>");
$licznik_bledow ++;  
                                                     }
//Instrukcja sprawdza czy e-mail jest poprawny. 
 
if ( antybot($login,$loginwspak)!="Poprawny" ) {
echo ( antybot($login,$loginwspak)."<br>"); 
$licznik_bledow ++;  
}
 
if ($licznik_bledow == 0) {
$wprowadz = "INSERT INTO `users` (`login`, `haslo`, `mail`) VALUES('$login', '$haslo', '$email')";
$zarejestruj = mysql_query($wprowadz);
echo("Urzytkownik: ".$login." został zarejestrowany!");
}
 
 
/* Jeśli licznik_bledow jest równy 0, czyli wszystkie pola zostały wypełnione poprawnie - 
* dokona się rejestracja. W tabeli useres zostaną umieszczone dane nowego urzytkownika.  
*/
 
               } 
                else { 
	echo("<br>Rejestracja zakonczona niepowodzeniem<br>Musisz wypelnic wszystkie pola.<br>");
				                  }
 
 
?>
 
 
 
 
[PHP] pobierz, plaintext 

Z góry dziękuje za pomoc i opinie.

pozdrawiam
Macios25

Ok, ale mam kilka zastrzeżeń. Dlaczego nie sprawdzasz na samym początku wykonywania skryptu, czy kazde pole zostało wypełnione tylko uzywasz zmiennej do zliczania?

Jesteś początkujący? Lepszym nawykiem jest zaczęcie używania anglojęzycznych nazw zmiennych i funkcji jesli będziesz chciał dalej w to brnąć. Lepiej teraz bo z nawyków trudno czasem zrezygnować.

Po return oraz echo nie trzeba wpisywać nawiasów, żeby instrukcja zadziałała. Oczywiście można, ale one służą raczej do matematycznych rzeczy i do uwzględniania pierwszeństwa w instrukcjach warunkowych przede wszystkim.

Jeśli wysyłasz ciąg znaków, jakiś napis, bez znaków specjalnych to lepiej używać pojedyńczych cudzysłowiów 'text' zamiast podwójnych "text".

A tak nawiasem, to jesli będziesz łądnie uzywał tabulatora to nie tylko Ty nie będziesz miał trudności z odczytywaniem kodu, ale i inni czytający twój kod.

W zewnetrznych funkcjach, gdy zwracasz wartość, i jest to jedna z dwóch możliwych (operacja sie wykonała lub nie) to lepiej używać takiego czegoś:

[PHP] pobierz, plaintext 
if(1=1) {
  return TRUE;
}
else {
  return FALSE;
}
[PHP] pobierz, plaintext 

Później podczas modyfikacji kodu, nie będziesz musiał skakać po plikach i szukać tej jednej funkcji która zwraca Ci ciąg, który wypisujesz na ekranie.

Nie rozumiem za bardzo o co Tobie chodzi.

Na początku jest instrukcja, która sprawdza czy, któreś z pół nie jest puste.

[PHP] pobierz, plaintext 
if (  $_POST['login'] && $_POST['haslo'] != "" && $_POST['haslo2'] != ""  && $_POST['email'] != "" && $_POST['loginwspak'] != ""  ) { 
***
Kod rejestracji. 
**** 
                }
                else {
echo ("Wszystkie pola muszą być wypełnione. ");
} 
[PHP] pobierz, plaintext 

Wprawdzie nie podoba mi się fakt, że prawie cały kod służący do rejestracji znajduje się w środku instrukcji if ale nie mogłem jakoś znaleźć lepszego rozwiązania.


Wielkie dzięki, zapoznałem się już jaka jest różnica.
( Nie wiedziałem, że "" to nie to samo co '').


Dobrze również zastosuje się do tej rady.



Tak, dlatego właśnie staram się pisać skrypty i publikować je na forum aby doświadczeni użytkownicy zwrócili mi uwagę na błędy. Potrzebuje mentora.


Z tym mogę mieć problem bo bardzo słabo znam język angielski.

Jeszcze raz dziękuje za rady.

Interesuje mnie jeszcze jedna rzecz, czy nie przesadzam z używaniem funkcji?
Używam ich tak nagminnie bo zależy mi aby skrypt był potem łatwy w edycji.

Funkcje są dobre jeżeli nie chcesz powielać tego samego kodu X razy, gdy chcesz odizolować pewne działania od reszty kodu lub Twój kod jest dość zagmatwany i chciałbyś aby był w miarę możliwości przejrzysty. W PHP są też pewne działania, które wykonasz tylko za pomocą funkcji / metod ale dowiesz się o tym jak "podrośniesz"

ps. ilość użytych funkcji nie ma praktycznie żadnego znaczenia dla czasu wykonywania skryptu
ps2. hashuj hasło i nie sprawdzaj czy nie ma znaków specjalnych