Ну для начала отправляй в БД сразу логин и пароль, только обрабатывай через mysqli_real_escape_string , ставь сразу к запросу LIMIT 1, потом проверяй, если число строк равно 1 найденных, то добавляешь сессию, в сессии кидаешь индикатор какой-то чтоб при повторной проверки авторизации, твой скрипт понимал, что все ок, при выходе заменяешь индикатор, который будет говорить, что пользователь не авторизован. Вот и весь процесс .
(Добавление)
И на будущее, никогда таких вещей не делай name='".$_POST['user']."' с такой фигней можно отправить тебе через $_POST['user'] строку кторая будет обрезать тебе хвост твоего запроса, а там дописывать нечто страшное например создаст тебе в БД нового пользователя с правами админа и будет вас двое, только ты про второго можешь сразу и не узнать, а только в последствии.
|