Помогите найти дыры в безопасности

[Zeratyll]

Я написал свой движок для сайта, функций еще мало: только регистрация, авторизация, шаблоны и небольшая админка. Но тем не менее хочу знать есть ли ошибки или упущения в безопасности. Писал около недели, может долго, но для моего возраста норм. Хотелось бы получить замечания
профессионалов.

Скачать: http://rghost.ru/53098993

[ATL]

1. eval никогда использовать нельзя. Никогда.
2. modules.php:5

PHP код:

$go = $_GET['go']; 


Параметры из $_GET нужно валидировать. Можно использовать

PHP код:

filter_input(INPUT_GET, 'go', FILTER_SANITIZE_STRING). 


2.1. Странный case.

PHP код:

switch($go){
    
    case register: 


Работает? По идее, должно быть case 'register':
3. login.php

PHP код:

md5($_POST['pass']); 


md5 не эффективен. Хочется безопасности - смотрите на bcrypt
4. registration.зрз

Цитата:

$db->query("INSERT INTO users (login, password, id) VALUES ('$login', '$pass', '2')");

Поле ID должно быть ключем с autoincrement, иначе слишком много вопросов.
5. main.php:5 ошибка
и т.д.

Это всё - очень урезанная версия DLE?

[Fenex]

Да, использовать один md5 нельзя, хотя бы солите его - это обязательный минимум.