Gracias por los comentarios!
Cita: a mi humilde opinión creo que algunas validaciones bien podrían estar en javascript para no estar escribiendo HTML en PHP.
OJO no digo que no haya una validación de vacíos
Con esto evitarías estar haciendo POST y por ende hacer esperar al usuario solo para saber que no escribió nada
De ahí en fuera creo que esta bien ya que estas limpiando bien las cadenas para evitar SQL injection pero y de ataques XSS jajaja naaaa es broma eso es algo más complicado.
Suerte
Tienes razón, seguramente lleve el sistema a XAJAX ;)
Cita: Revisas que usuario y contraseña solo contengan números y letras, sin embargo, estás olvidando la seguridad que brinda una contraseña que contenga caracteres especiales, y haces hash con md5, cuando actualmente se recomienda usar blowfish.
En mi opinión (y es sólo eso, una opinión) si usaras PDO con consultas preparadas y hash en blowfish, sería mucho más seguro.
Además, no estaría mal si quieres evitar ataques por fuerza bruta, que revises la ip del usuario, para evitar que de una misma ip intenten entrar con diferentes usuarios.
Ayer 09:38
Había pensado en lo de la contraseña.... y la verdad que por no complicarme lo deje así! Voy a tratar de incluir también caracteres no alfanuméricos.
Ok también a lo de md5.. Echare un vistazo a la encriptacion que me comentas.
En otras ocasiones he usado una combinación de varias, como md5(sha1("$password"))...
Lo de restringir la IP a un solo usuario no me convence mucho la verdad....
Seria raro que se de el caso, pero hay posibilidades de que 2 o más usuarios conecten desde una misma IP... por ejemplo si estan entrando desde una misma red wiffi, como la biblioteca, centro comercial, empresa...etc