mysql_connect("localhost", "root", ""); //устаревшее обращение к бдmysql_select

1. mysql_connect("localhost", "root", ""); //устаревшее обращение к бд
2. mysql_select_db("orders"); //
3.  
4.  
5. $user_ip = $_SERVER['REMOTE_ADDR'];
6. if ($_SERVER['HTTP_X_FORWARDED_FOR']) $user_ip = $_SERVER['HTTP_X_FORWARDED_FOR']; // Что делает эта строка??
7.  
8. if ($user_ip=="127.0.0.1")
9. { // Авторизация по ip пользователя
10. echo "Администратор<br>"; //Авторизация по ip по-моему странная идея
11. }
12. else
13. { // Авторизация пользователя
14. $sqlQuery = "SELECT * FROM users WHERE uname='$uname' and upass='$upass' and `real`=1";//для чего нужен real?? нет защиты от sql инъекции
15. $result = mysql_quеry($sqlQuery) or user_error(mysql_error()."<br>".$sqlQuery."<br>", E_USER_ERROR);
16. if ($user = mysql_fеtch_array($result)) //Возможно здесь нужно вывести $user['fio'] через цикл while??
17. {
18. echo "Здравствуйте ".$user['fio']."<br>";
19. }
20.  
21. else
22. {
23. echo "Вы не зарегистрированы";
24. exit;
25. }
26. }
27. if ($_REQUEST['search']) //Нужна проверка if(isset($_REQUEST['..']))
28. {
29. echo "Результат поиска: <br>";
30. $search_name=$_REQUEST['search'];
31. $sqlQuery = "SELECT * FROM forms WHERE satus='$search_name'";//нет защиты от sql инъекции. Может быть вместо and надо использовать запятую? И все ли так с запросом?
32. $result = mysql_query($sqlQuery) or user_error(mysql_error()."<br>".$sqlQuery."<br>", E_USER_ERROR);//устаревшее обращение к бд
33. while ($one_form = mysql_fetch_аrray($result))
34. {
35. echo $one_form['info']."<br>";
36. }
37.  
38. }
39. echo "<form>Введите поиск: <input type=text name='search'><input type=submit></form>";
40. ?>