ayuda es seguro este sistema de favoritos?

waty90 · #1 (**permalink**) 13/08/2009, 02:36

wenas, voy ha hacer un sistema de favoritos y queria vuestra opinion,acerca de la forma de hacerlo.

estaba pensando en algo sencillo,os cuento..

tengo una tabla : favoritos

con las filas: id ,id_usuario, titulo ,link, img

en la fila id_usuario guardare desde la sesion el id del usuario con lo demas el titulo,enlace y una imagen ...

luego pondria en cada video esto:

Código PHP:

  <div id="añadir-lista">

<form id="favoritos-form" name=favoritos-form method="post"  action="añadir-favorito.php" enctype="multipart/form-data">

      <td><input name="titulo"  id="titulo" type="hidden"></td>
   

      <td><input name="imagen"  id="imagen" type="hidden"></td>
  

      <td><input name="link"  id="link" type="hidden"></td>

     
 <td><input name="Submit" value="añadir" type="submit"></td>
</form>  

</div>

En los campos ocultos haria un echo con los valores del video que esta viendo el usuario: titulo,link.etc

nose si deberia usar javascript en vez de un form normal ?¿

mi pregunta es si esto es seguro o deberia de hacerlo de otra forma?¿¿

muchas gracias

saludos

SainT90 · #2 (**permalink**) 13/08/2009, 03:04

el html es seguro pero..

añadir-favorito.php

que pone ahi? porque si no te podran inject algo otra cosa es...

si los datos los sacas por get? o como?

Cita:

los td sobran

waty90 · #3 (**permalink**) 13/08/2009, 03:24

Cita:

Iniciado por SainT90

el html es seguro pero..

añadir-favorito.php

que pone ahi? porque si no te podran inject algo otra cosa es...

si los datos los sacas por get? o como?

los td sobran

gracias por tu ayuda, ahora quitare los td.
cuando imprimo el video hago un while para sacar los datos : titulo,imagen.etc
entonces tan solo deberia imprimir los datos del video en el form algo asi:value="<? echo $titulo;?>"

lo pasare por post y con esta funcion limpio las variables:

Código PHP:

  function limpiar($str) {
        $str = @trim($str);
        if(get_magic_quotes_gpc()) {
            $str = stripslashes($str);
        }
        return mysql_real_escape_string($str);

    }
    //las variables
    $titulo = limpiar($_POST['titulo']);

y luego lo insertare (esto de insertar lo tengo casi terminado) y luego para mostrarlos algo asi:

Código PHP:

  "select id,id_usuario,titulo,link,imagen from favoritos where id_usuario='$id_usuario'",

$id_usuario lo saco de la sesion actual del usuario..

puede servir asi??

gracias por tu ayuda.

Mort20 · #4 (**permalink**) 13/08/2009, 05:41

Opino que es mejor que lo hagas con JavaScript, un botón que tenga asociada una función onClick() dónde le pases como parámetros los datos que necesitas (id, url, etc) y ahí lo insertes en BD. Así lo haces de forma dinámica y el usuario no debe esperar a una redirección.

Realmente sólo con HTML y PHP no se me ocurre nada aceptable, lo único es lo del formulario y para esto es una guarrada a mi parecer. Aún y así si lo quieres hacer por formulario la que has expuesto sería la idea.

waty90 · #5 (**permalink**) 17/08/2009, 02:39

Cita:

Iniciado por Mort20

Opino que es mejor que lo hagas con JavaScript, un botón que tenga asociada una función onClick() dónde le pases como parámetros los datos que necesitas (id, url, etc) y ahí lo insertes en BD. Así lo haces de forma dinámica y el usuario no debe esperar a una redirección.

Realmente sólo con HTML y PHP no se me ocurre nada aceptable, lo único es lo del formulario y para esto es una guarrada a mi parecer. Aún y así si lo quieres hacer por formulario la que has expuesto sería la idea.

gracias mort20 intentare ver como podria hacerlo con javascript..
aunque no lo he usado mucho para programar, investigare un poco...

saludos