Vet inte om det bara är jag men det ser ut som din applikation är väldigt sårbar för sql injections...
register.php
Login.php
Sen kan man nog ta $var1 i funktionen exists, men det blir ungefär samma bara det att det är på databas anslutningar man kommer åt...