Большая просьба проверить сайтег который я написал там через админку идёт добовление + редактирование + удаление новостей а на главной отображаю эти новости кому не лень посмотрите плз (диз это так..)

Проверьте плиз если можно както оптимизировать код
или если есть какието баги


http://zakazi.ho.ua - сам сайтег
http://zakazi.ho.ua/admin.php - админка

пароль админа : test

исходники:
http://zakazi.ho.ua/Zakaz.zip

непонятно зачем ты каждый раз пытаешься таблицу создать

ну в книге по пхп было написано что лучше делать так т.к это удобней... ну еси скипт не большой тоесть еси таблиц не много

сожги книгу и прокляни ее автора

адин из них разработчик денвера второй известный в россии прогроммист вроде норм авторы=)

П.с если таблиц несколько сказали как это всё сделать 2мя запросами.. так что если ты о запросах то всё ок)

1) Типа SQL
http://zakazi.ho.ua/index.php?s=-1

2) Обход бана:
a)Делитим куки ban
b) Ставим куки count со значение 6


if (isset($_GET['s']) && !empty($_GET['s']) && is_numeric($_GET['s']))
{
$pg=htmlspecialchars($_GET['s']);
}
Зачем цифры в htmlspecialchars?

Ну бан это так.. я придумать больше нечё не мог а с sql я промазал .. =)

Кстате с той sql Можно было чтото зделать?

там идёт умножение на число и если бы ты передал

в параметре s union+select или какие либо слова

вышло бы union+select * 2 что было бы равно 0 не так ли?

а если index.php?s=-1+union+select+bla+bla

это всё умножилось бы на 2 скжем и вышло бы -2 =)

if (isset($_GET['s']))
{
if(is_numeric($_GET['s']) and $_GET['s']>0){
$pg=$_GET['s'];
}else{
$pg=0;
}
}
можно сделать так...

не фильтруется ни один параметр админки если мы не авторизировались.
step, name1, cont, redact ...

Када ты не авторизован ты ничего не сделаеш

Doom123, всмысле ничего не сделаю? если у тебя при входе все фильтруется, а когда ты еще не вошел нет, то уже явно чтото с кодом не так.

Странный код в mysql_connect.php: код по созданию таблицы не выполнитс НИКОГДА, так как в случае её отсутствия мы выходим ещё в строке
mysql_select_db($db)
or die("Не могу выбрать базу данных: ".mysql_error());

И автроизация через куки, и баны через них - шедевр!! Авторизация через .htaccess - гораздо лучше!

авторизацию по кукам вполне нормальное явление. с антибрутом согласен...
в общем рекомендую сделать все по посту #4
и учить по нормальному мануалу - php.net/docs

#14:
Сейчас цель - показать слабые места конкретного сайта, а не обучить ТС-а красивому php=)

Но авторизация через куки в случае с админкой, у которой администрация возможна только со всеми правами, имхо, - бессмысленная трата времени и потенциальная слабость в связи с
а) непрофессиональной их обработкой
б) их можно тупо спереть несколькими способами=)

GreenBear - хватит уговаривать меня сжечь книгу=) нормально всё с книгой и для новичка вполне подходит а по докам эта не учёба а просто описание... в книги тебе говорят что стоит применять, где и когда
desTiny - Ну извените.. в принципе для этого и существует практика чтоб в будущем знать что и как делать... куки и всю эту дребидень использовал т.к практиковал только что выученый материал=)

и кстате о чём тут вообще речь?
mysql_select_db() - Функция выбора Базы Данных
А База Данных и таблица в этой базе это 2 разные вещи

"mysql_select_db() - Функция выбора Базы Данных"
а, сорри, совсем крыша едет.. Тогда вообще бред в каждом вызове пытаться создать таблицу... Действительно, поставь книжку на полку и не трогай её...