скрипт авториз. на mysql

http://bola.net.ru/bola.zip (4kb)
Скрипт регистрации и авторизации на msql с сессиями и куками.
На ее основе хочу скрипт написать но если он окажеться дырявым то птом придется менять много страниц, что страшно. Прошу знающих за плюс проверить есть ли дыры или баги

содердимое архива можно загрузить в любую папку

вот пример
http://pomeo.h2m.ru/s
Вижу ошибку с переменной $id, на денвере этого небыло

в 34строке $select_tbl=mysql_query("SELECT * FROM users where id='$id'");
Надо так вроде:
$select_tbl=mysql_query("SELECT * FROM users where id='".$id."';");

Ща проверим

Вроде норм ток функцию check_ful();
Проще сделать так:

function check($var){
return mysql_escape_string(addslashes(htmlspecialchars($var)));
}

И использовать например:

$login = check($_POST['login']);

обеим плюсы поставил И как сделать чтоб денвер все ошибки показывал?
Wapruks, ты в асе бываешь?

6. достаточно будет mysql_escape_string() для экранирования "'" и htmlspecialchars() для всего остального.
==
если переменная является целым числом, эффективнее будет использовать intval(); если нужно вылавливать все мелкие ошибки ввода юзера, можно использовать проверку на is_numeric(); - опять же если переменная должная быть только числом.
==
7. установи соответствующий error_reporting в .htaccess и/или конфиг файле скрипта

8, а ты попробуй intval'ом проверить переменную равную 123abc, она пропустит. Лучше is_numeric

2Wapruks, а если magic_quotes_gpc = on? Тогда добавятся лишние бек-слеши, чего абсолютно не нужно...