Witam, mam taki problem

zastanawiam się w jaki najprostrzy sposób zrobić panel logowaina dla użytkowników - bez rejestracji...

Chodzi mi o to że:
1. Login i haslo sprawdzane sa z baza danych
2. jesli sa poprawne wyswietla dane ktore sa przypisane danemu ID, jesli ktos wpisze czyjes ID dane nie zostana wyswietlone...


Tak mam zrobiony panel administratora (odrazu moze ktos pwoiedziecz czy jest w miare bezpieczny - nie potrzebuje jakis hiper zabezpieczen, nie bedzie tam danych od NASA_


Moze dalo by się to jakos wykorzystac?

Jesli ktos napisze slownie lub praktycznie to bede b. wdzieczny,
dobrym tutkiem tez nie pogardze - mialem gdzies jeden ale zgubilem link z jakiegos forum bodajże...

[PHP] pobierz, plaintext 
<?php
if (isset($_POST['haslo'])&&isset($_POST['login']))
	{
		if ($_POST['haslo'] === "haslo1"&&$_POST['login'] === "haslo")
		{
			$_SESSION['zalogowany'] = 1;
			$_SESSION['czas'] = time();			
		}
		else
		{
			$login_form = new cTemplate;
			$logine->assign['log'] = $login_form->parse("templates/login.html");	
			$logine->assign['msg'] = "Podałes błędne hasło!";
			echo $logine->parse("templates/panel.html");
 
			exit;		
		}
	}
 
	if (isset($_SESSION['zalogowany'])&&isset($_SESSION['czas'])&&($_SESSION['zalogowany']===1))
	{
		if (time()-$_SESSION['czas'] < 1800)
		{
			$_SESSION['czas'] = time();
			$logine->assign['log'] = "";
			$page->assign['status'] = "<div class=\"zalogowany\">Jestes zalogowany</div>";
 
 
		}
		else
		{
			$login_form = new cTemplate;
			$login_form->assign['msg'] = "przekroczono czas bezczynnosci<br>zaloguj sie ponownie";
			$logine->assign['log'] = $login_form->parse("templates/login.html");
 
 
		}
	}
?>
[PHP] pobierz, plaintext 

spróbuj tego

[PHP] pobierz, plaintext 
<?php
session_start();
$connect = mysql_connect("localhost", "root", "root"); // połączenie z bazą
mysql_select_db("baza"); // wybór bazy
function zaloguj($user, $pass){
$sprawdz = mysql_query("SELECT * FROM `users` WHERE `login` = '".$user."' AND `pass` = '".$pass."'"); 
$suma_sprawdz = mysql_num_rows($sprawdz);
$row = mysql_fetch_array($sprawdz);
if($suma_sprawdz == 0){
$_SESSION['zalogowany'] = true;
$_SESSION['login'] = $row['login'];
}
}
if(isSet($_POST['login']) &&  isSet($_POST['pass])){ // sprawdzenie czy dane nie sa puste
zaloguj($_POST['login'], $_POST['pass']); // wykonanie funckji
echo "Zostałeś zalogowany jako $_SESSION['login]";
} 
 
 
?>
<form action=index.php method=post>
<input type=text name=login><br>
<input type=password name=pass><br>
<input type=submit value=zaloguj>
</form>
[PHP] pobierz, plaintext 

Mój poprzednik napisał cos takiego :

[PHP] pobierz, plaintext 
<?php
$sprawdz = mysql_query("SELECT * FROM `users` WHERE `login` = '".$user."' AND `pass` = '".$pass."'"); 
$suma_sprawdz = mysql_num_rows($sprawdz);
$row = mysql_fetch_array($sprawdz);
if($suma_sprawdz == 0){
$_SESSION['zalogowany'] = true;
$_SESSION['login'] = $row['login'];
?>
[PHP] pobierz, plaintext 

Jednak coś mi nie gra bo z tego wynika że jeżeli liczba rekordów jest 0 to wtedy loguje, nie powinno byc odwrotnie ?
A ja zawsze zamiast tego stosuje inne rozwiazanie które według mnie jest bardziej bezpieczne :

[PHP] pobierz, plaintext 
<?php
$sprawdz = mysql_query("SELECT login, pass FROM `users` WHERE `login` = '".$user."' AND `pass` = '".$pass."'"); 
$row = mysql_fetch_array($sprawdz);
if($row['login'] == $user && $row['pass'] == $pass){
$_SESSION['zalogowany'] = true;
$_SESSION['login'] = $row['login'];
?>
[PHP] pobierz, plaintext 

Może troche spowalniać ale nie ma mowy o "SQL Injection"

maniek rzeczywiscie sie pomylilem. autor tematu niech sobie zabezpieczy na wlasne potrzeby, bo ja mu jeszcze nie bede zabezpieczal, wystarczy ze dostal skrypt bo od kogos innego by bylo ciezko dostac bo ja sam nie moglem dostac i musialem sam zrobic:D