Форумы портала PHP.SU :: Система авторизации

Делаю сайт, сделал систему авторизации. Все работает как и предпологалось, проблем нет... Нужно ваше мнение по поводу, возможных ошибок и т.д. Вобщем любая критика Улыбка
Выкладую код с поясняющими комментами, чтоб было понятней
PHP:
скопировать код в буфер обмена
class Users
{
        /* 
        --- session status ---
        11 - логин <3 или >20 символов, либо в нем присутствуют недопустимые символы
        12 - пользователь с таким логином не зарегистрирован
        13 - пароль <6 или >20 символов, либо в нем присутствуют недопустимые символы
        14 - неверный пароль
        10 - все ОК (вход через форму)
        21 - пользоател с указанным id не найден
        22 - пароль сессии не соответствует паролю базы
        23 - неверный ip (сессии)
        20 - все ОК (вход по сессиям)
        31 - пользоател с указанным id не найден
        32 - пароль куки не соответствует паролю в базе
        33 - неверный ip (куки)
        30 - все ОК (вход по кукам)
        40 - вход не осуществлен
        41 - вы заблокированы (лимит авторизаций)
        42 - система пользователей отключена
        */
        public function session()
        {
        //проверка включенности системы
                if(!_USERS || !$this->sets['user_system']) return $this->user_setts(42);
        //проверка на блокировку
                $sql = mysql_query($this->Mysql->test_login_errors(1));
                if(mysql_num_rows($sql) >= $this->sets['user_login_error_size'])
                {
                        $res = mysql_fetch_assoc($sql);
                        if($res['time'] + ($this->sets['user_login_error_time'] * 3600) > TIME) return $this->user_setts(41);
                        mysql_query($this->test_login_errors(2));
                }
                elseif(mysql_num_rows($sql) > 0) mysql_query($this->Mysql->test_login_errors(3));
        //запуск сессии
                session_start();
        //вход через форму
                if(isset($_POST['login']) && isset($_POST['name']) && isset($_POST['pass']))
                {
                        $login = trim($_POST['name']);
                        $password = trim($_POST['pass']);
                //проверка логина (шаблон)
                        if(!preg_match('/^[a-z0-9][a-z0-9\-\_]{1,18}[a-z0-9]$/i',$login)) return $this->user_setts(11);
                //проверка пароля (шаблон)
                        $regexp = $this->sets['user_password_type'] ? 
                                '/^[a-z0-9][a-z0-9 \-\_\&\#\$\^\.\,\;\:\=\+\*\/\(\)\{\}\[\]\<\>\\\%\@\`\~\|\'\"\?\!]{4,18}[a-z0-9]$/i' : 
                                '/^[a-z0-9][a-z0-9\-\_]{4,18}[a-z0-9]$/i';
                        if(!preg_match($regexp,$password)) return $this->user_setts(13);
                //проверка существования пользователя
                        $sql = mysql_query($this->Mysql->test_user(1,mysql_real_escape_string($login)));
                        if(mysql_num_rows($sql) == 0) return $this->user_setts(12);
                //проверка пароля пользователя
                        $res = mysql_fetch_assoc($sql);
                        $pass = md5(strrev(md5($password).md5($this->conf['installed'])).md5($this->conf['secret']['w']));
                        if($res['password'] <> $pass) return $this->user_setts(14);
                //remember
                        if(isset($_POST['remember'])) setcookie('sva_user',$res['id'].'#'.strrev(md5($password)),($this->sets['cookies_life'] * 86400 + TIME));
                        elseif(isset($_COOKIE['sva_user'])) setcookie('sva_user','');
                //все ОК        
                        $_SESSION['id'] = $res['id'];
                        $this->pass_hesh($res['id'],$pass);
                        mysql_query($this->Mysql->test_login_errors(2));
                        mysql_query($this->Mysql->update_user(1,$res['id']));
                        return $this->user_setts(10,$res['id']);        
                }
        //сессия        
                if(isset($_SESSION['id']) && isset($_SESSION['pass']))
                {
                //проверка существования пользователя
                        $sql = mysql_query($this->Mysql->test_user(2,mysql_real_escape_string($_SESSION['id'])));
                        if(mysql_num_rows($sql) == 0) return $this->user_setts(21);
                //проверка пароля
                        $res = mysql_fetch_assoc($sql);
                        $pass = unserialize($res['password_hesh']);
                        if($_SESSION['pass'] <> substr($res['password'],$pass[0],$pass[1])) return $this->user_setts(22);
                //проверка ip
                        if($res['last_ip'] <> $_SERVER['REMOTE_ADDR']) return $this->user_setts(23);
                //все ОК
                        $this->pass_hesh($_SESSION['id'],$res['password']);
                        return $this->user_setts(20,$_SESSION['id']);
                }
        //cookie
                if(isset($_COOKIE['sva_user']))
                {
                        list($id,$password) = split('#',$_COOKIE['sva_user']);
                //проверка существования пользователя
                        $sql = mysql_query($this->Mysql->test_user(3,mysql_real_escape_string($id)));
                        if(mysql_num_rows($sql) == 0) return $this->user_setts(31);
                //проверка пароля
                        $res = mysql_fetch_assoc($sql);
                        $pass = md5(strrev(strrev($password).md5($this->conf['installed'])).md5($this->conf['secret']['w']));
                        if($res['password'] <> $pass) return $this->user_setts(32);
                //проверка ip
                        if($res['last_ip'] <> $_SERVER['REMOTE_ADDR']) return $this->user_setts(33);
                //все ОК
                        $_SESSION['id'] = $id;
                        $this->pass_hesh($id,$pass);
                        setcookie('sva_user',$id.'#'.$password,($this->sets['cookies_life'] * 86400 + TIME));
                        mysql_query($this->Mysql->update_user(2,$id));
                        return $this->user_setts(30,$id);
                }
        //нет входа
                return $this->user_setts(40);
        }
        private function user_setts($status,$id = 0)
        {
                $res['status'] = $status;
                if($status < 40 && $status % 10 <> 0) mysql_query($this->Mysql->login_errors($status));
                if(in_array($status,array(21,22,23))) $this->kill_session();
                if(in_array($status,array(31,32,33))) setcookie('sva_user','');
                $res['u'] = array('id' => $id, 'lang' => 0, 'style' => 0);
                if($id === 0) $sql = mysql_query($this->Mysql->user_sets(1,$this->sets['user_default_group']));
                else
                {
                        $sql = mysql_query($this->Mysql->user_sets(2,$id));
                        $res['u'] = array_merge($res['u'],mysql_fetch_assoc($sql));
                        $sql = mysql_query($this->Mysql->user_sets(1,$res['u']['user_group']));
                }
                $res['g'] = mysql_fetch_assoc($sql);
                $this->sets['user'] = $res;
                return $res;
        }
        private function pass_hesh($id,$hesh)
        {
                $start = rand(0,25);
                $end = rand(7,15);
                if($start + $end > 31) $end = 32 - $start;
                mysql_query($this->Mysql->password_hesh(serialize(array($start,$end)),$id));
                $_SESSION['pass'] = substr($hesh,$start,$end);
        }
        private function kill_session()
        {
                unset($_SESSION['id']);
                unset($_SESSION['pass']);
        }
}