Moje uwagi:
1.Nazwa pliku adminopcjegeneralne.php
... Cóż - chyba nie potrzeba głębokiego komentarza.
2.sha1('trolololo22117'.md5($text).'bksa48432');
. Samo sha1($text)
jest już niemodne, mniej bezpieczne czy co? :]
3.
if($modd==1) return true;
else return false;
Na:
return $modd==1
if(check_mod()==true) $pozwolenie=true;
if(check_mod()==false)$pozwolenie=false;
Na:
$pozwolenie = $check_mod();
Poza tym takie coś:
if ($x==true) {}
To to samo co:
if ($x) {}
Tylko druga wersja jest bardziej czytelna (jak dla mnie).
5.W pliku edytujkomentarz.php
masz takie coś: if($pozwolenie==true)
(== if(check_mod())
) po to, aby i tak w środku tej instrukcji robić if (check_mod()==true)
6.edytujwpis.php
: $id_wpisu = mysql_real_escape_string($_GET['id_wpisu']);
. Ale nigdzie wcześniej nie sprawdzasz nawet, czy $_GET['id_wpisu']
istnieje.
7.settype($id_wpisu,'integer');
na $id_wpisu = (int)$id_wpisu
bądź $id_wpisu = intval($id_wpisu)
8.if($_GET['usun']==1)
... if($_GET['usun']==2)
na switch
9.logowanie.php
:
$haslo=mysql_real_escape_string($_POST['password']);
Skoro hasło i tak jest hashowane, to po co je escapujesz?
10.
$query = mysql_query("SELECT `user_name` , `user_password` FROM `users` WHERE `user_name`='$nick'");
No tak - po co dodać jeden dodatkowy warunek (and password=$password
, ale wcześniej oczywiście wykonać sha1 na haśle), skoro można pobrać wszystkich użytkowników o danym user_name (co prawda i tak musi być to jeden user, ale jednak) i iterować po nich?
11.rejestracja.php
:
From: <[email protected]>
Czy to nie powinno być (tzn.się ten e-mail) zapisany w configu?
12.wpisy.php
:
echo"</DiV>";
13.wyloguj.php
:
echo "Zostałeś wylogowany";
header ("location: index.php");
To w ogóle działa?
Nie można wysłać nagłówków, skoro został już wysłany tekst (inaczej: header
nie będzie działać, jeżeli już cokolwiek wyświetliłeś np.za pomocą echo
)
Póki co chyba tyle.
Jak dla mnie, to strona napisania słabiutko; pełno błędów i niedociągnięć...