Witam, jestem w trakcie pisania mini portalu, zacząłem pisać logowani i nabazgrałem coś takiego:

[PHP] pobierz, plaintext 
<?php
 session_start();
include_once('baza.php');
 
if(isset($_SESSION["zalogowany"])){
         // tu coś gdy sesja istnieje jakiś header czy coś...
    }      else {
$nick = addslashes(htmlspecialchars($_POST['login']));
$ok = $_POST['ok'];
$pass = addslashes(htmlspecialchars(md5($_POST['haslo'])));
  $m = mysql_fetch_array(mysql_query("select * from user where nick='$nick' and pass='$pass'"));
if(isset($ok) && isset($nick) == $m['nick'] && isset($pass) == $m['pass']){
    $_SESSION["zalogowany"] = $nick;
echo "Zalogowano, poprawnie";
 
    } else
    {
    echo "Błędne hasło/login";
        }
}
?>
[PHP] pobierz, plaintext 

Czy to jest bezpieczny skrypt logowania?
Czy jest on poprawnie napisany ?

Dla własnego portalu większego bezpieczeństwa Ci nie trzeba. Ja sam mam u siebie coś podobnego. Oczywiście można mieszać jeszcze bardziej na wiele sposobów, ale nie ma to sensu.


A nie łatwiej wrzucić na serwer i sprawdzić?

pass = addslashes(htmlspecialchars(md5($_POST['haslo'])));
wystarczy md5, reszta zbędna.
Po co to : <li class="li1">$ok = $_POST['ok'];bez porównania z sesją nic nie daje.