Eigenlijk is jouw script totaal niet zinvol , toch niet wat jij van plan bent.
Maak gewoon een map aan en noem die "upload" en maak een uploadscript aan waarmee de leden bestanden kunnen uploaden naar de server. Voor een avatar zorg je dan dat bestandsnaam en extensie in de databank worden opgeslagen. Dan kijk je met je script na : heeft de gebruiker een profielfoto ingesteld ( je kan maken dat bij geen waarde in DB er geen avatar of een standaardavatar wordt weergegeven ) , als de gebruiker er een heeft : afbeelding weergeven via de gekende code.
Andere bestanden uploaden zou ik hetzelfde doen : de bestandsnaam in de databank zetten waarbij je ergens de gebruikerID opslaat en dan uiteindelijk voor de gebruiker kan weergeven welke bestanden hij heeft geüpload. Een individuele map voor elk lid is zéér omslachtig.
Ik zou je wel willen helpen met code als je even je e-mailadres post. Ik zie trouwens dat je het "Groot Inlogsysteem versie 2" van Jorik Berkepas gebruikt. Dit systeem is zeer vatbaar voor MySQL injection! Dus beveiliging aanpassen is een must.
