Оптимизация PHP-скрипта

[Shouldercannon]

Доброго времени суток! На сколько сильно данный код будет грузить сервер? На сколько велика вероятность того, что может отобразиться сразу несколько echo? Можно данный код сделать ещё компактнее?

PHP код:

<?php
include "db_connect.php";

$login = $_POST['autlog']; // Получим логин
$password = $_POST['autpas']; // Получим пароль
$mac = $_POST['autmac']; // Получим MAC
// Проверка логина, пароля, MAC на пустоту
if (empty($login) || empty($password) || empty($mac)) {
    die;
}
$query = "SELECT `login` FROM `autoriz` WHERE `login` = '".$login."'";
$result = mysql_query($query);
$slogin = mysql_fetch_array($result);
// Проверяем логин
if ($login == $slogin['login']) {
    $query = "SELECT `passw` FROM `autoriz` WHERE `login` = '".$login."'";
    $result = mysql_query($query);
    $spassword = mysql_fetch_array($result);
    // Проверяем пароль
    if ($password == $spassword['passw']) {
        $query = "SELECT `mac` FROM `autoriz` WHERE `login` = '".$login."'";
        $result = mysql_query($query);
        $smac = mysql_fetch_array($result);
        // Проверяем MAC в таблице на пустоту
        if (strlen($smac['mac'] <= 2)) {
            // Первое подключения пользователя и MAC ещё нет в таблице. Запишем MAC в таблицу
            $query = "UPDATE autoriz SET mac = '".$mac."' WHERE `login` = '".$login."'";
            $result = mysql_query($query);
            echo "Login OK";
            die;
        }
        // Проверяем MAC
        if ($mac == $smac['mac']) {
            echo "Login OK";
        } else {
            echo "Login FAIL"; // MAC неверен
        }
    } else {
        echo "Login FAIL"; // Пароль неверен
    }
} else {
    echo "Login FAIL"; // Логин неверен
}
?>

[Gorychev]

Проверять одним запросом логин и пароль. Если все ок, то записали в сессию, например, логин пользователя. После чего можно эту сессию детектить и выводить надпись "Привет, Вася Пупкин" Если нет, то выводите "Вы неверно ввели логин или пароль. Повторите или зарегистрируйтесь". Чтобы не грузили подбором паролей сервер, давайте 5 попыток, если кол-во попыток исчерпано, то отправляете в бан на 10-15 минут. Это тоже можно сделать с помощью сессий.
Какую функциональную нагрузку несет Мас, не понял. Что-то на@уиверчено непонятное.
Я бы переписал все, а не делал мутанта аторизация-регистрация. Каждый модуль должен решать свою задачу.

[Andkorol]

Если есть желание сделать скрипт компактнее – не нужно создавать лишние переменные, можно просто работать с переменными $_POST:

Цитата:

Сообщение от Shouldercannon

PHP код:

$login = $_POST['autlog']; // Получим логин
$password = $_POST['autpas']; // Получим пароль
$mac = $_POST['autmac']; // Получим MAC 


Вместо трёх запросов – выполняем один:

PHP код:

$query = "SELECT * FROM `autoriz` WHERE `login` = '" . mysql_real_escape_string($login) . "'"; 


Какой в этом смысл – если выводится одна и та же фраза:

Цитата:

Сообщение от Shouldercannon

PHP код:

} else {
            echo "Login FAIL"; // MAC неверен
        }
    } else {
        echo "Login FAIL"; // Пароль неверен
    }
} else {
    echo "Login FAIL"; // Логин неверен
}
?> 


Как вот юзер поймет, что именно он ввёл неправильно – если в любом случае ему выводит "Login FAIL" ?

Вместо вереницы "Login FAIL" в коде – проще и правильнее использовать переменную-флаг.
Ну и забыть пора про mysql_... уже – PDO или mysqli.

[wanes101]

это

Цитата:

$query = "SELECT `login` FROM `autoriz` WHERE `login` = '".$login."'";

ГК ибо взломать легко читай про mysql инъекции ну или через pdo делай
вот так
$this->upduser_stmt=$this->db->prepare("UPDATE siteuser
SET
siteuser_name=:name,
siteuser_age= : age,
siteuser_sex=:sex,
siteuser_phone=hone,
siteuser_email=:email,
siteuser_birth=:birth,
siteuser_activated=:activated
WHERE siteuser_id=:siteuserid");

$this->upduser_stmt->bindValue(':name',$user->name,PDO::PARAM_STR);
$this->upduser_stmt->bindValue(':sex',$user->sex,PDO::PARAM_INT);
$this->upduser_stmt->bindValue(':age',($user->age==''?'':$user->age),PDO::PARAM_INT);
$this->upduser_stmt->bindValue('hone',$user->phone,PDO::PARAM_STR);
$this->upduser_stmt->bindValue(':email',$user->email,PDO::PARAM_STR);
$this->upduser_stmt->bindValue(':siteuserid',$user->id,PDO::PARAM_INT);
$this->upduser_stmt->bindValue(':birth',$user->birth,PDO::PARAM_STR);
$this->upduser_stmt->bindValue(':activated',intval($use r->activated)>0?1:0,PDO::PARAM_INT) ;
$this->upduser_stmt->execute();

тогда инъекция не пройдет дай мне url я докажу

[Fenex]

Цитата:

дай мне url я докажу

Доказывать можете здесь каждый день: http://testasp.vulnweb.com/

[wanes101]

да вот пожалуйста 10 минут и готово

если бы я сразу знал что там ms mysql а не просто mysql то быстрей бы сделал

[wanes101]

а че репутация упала ведь я лишь доказал что пишите не правильно, как всегда за правду не чего хорошего? чего дизлайки я же бесплатно его взломал платные смс не требую, так показательно сделал, что б знали что так не пишут

[Fenex]

Вау, да вы действительно круты! А чего ж не потрудились зайти на вкладку "about" и почитать пару абзацев там?