Seguridad en php y mysql.

...

Recuerden que todo código sin seguridad es código sin valor en el mercado.

Un rapido ejemplo de un script seguro en PHP

Les voy a mostrar cómo quedaría un script chiquito pero seguro ante cualquier inconveniente.

Pagina:

www.misitio.com/index.php?id=5&nombre=martin&nick=Tincho25

include("config.php"); // Acá el link a la conexion correspondiente

if (!ereg("^[0-9]+$",$_GET[id])) { header("location: index.php"); die; }

#compruebo que sea númerico si no lo es, lo mando al index

else {

$sql = mysql_query("select id from table where id = $_GET[id]",conexion);

if (mysql_num_rows($sql) == 0) { $error .= "El id no existe"; }

}

#como hasta ahora comprobó todo, vamos a seguir con el script

if (!ereg("^[a-zA-Z]+$",$_GET[nombre])) { $error . = "Lo siento el nombre debe contener solo letras"; }

if (!ereg("^[a-zA0-Z9]+$",$_GET[nick])) { $error .= "Lo siento el nick debe contener solo letras y numeros"; }if (!$error) {

// por si las dudas nada más.. vamos a poner los campos con sus respectivos mysql real escape string ...

$id = mysql_real_escape_string($_GET[id]);

$nombre = mysql_real_escape_string($_GET[nombre]);

$nick = mysql_real_escape_string($_GET[nick]);

mysql_query("insert into table (nombre,nick,id_referido) values ('$nombre','$nick','$id')",conexion);

if (mysql_error()) { echo "Ocurrió un error al intentar ingresar los datos en la base de datos"; }

else { echo "Datos ingresados sastifactoriamente"; }

}

else { echo $error; }

Este sistema sería básicamente así: El id es el id de otro usuario, entonces nos fijamos que este usuario exista en la base de datos para saber que el referido es correcto, si existe pasamos a las siguientes comprobaciones. Si ninguna da error insertamos los datos en la BD, y el ID lo ponemos como el id_referido.

Al