Validación de variables obtenidas

kenproxd · #1 (**permalink**) 30/01/2011, 10:34

Hola a todos,

Estoy haciendo un sistema de tutoriales y quisiera saber su opinión acerca de la manera que estoy utilizando para comprobar que las variables que obtengo mediante GET son válidas y coinciden entre sí. Aqui les explico un poco:

El link de cada tutorial sería algo asi:

tutoriales.php?categoria=x&id=y

Estoy validandolo de la siguiente manera:

Código PHP:

Ver original<?php
//Selecciono el tutorial con el ID indicado
 
$query1 = mysql_query("SELECT categoria FROM tutoriales WHERE id='"$_GET['id']"'");
 
//Cuento los resultados
$num_res = mysql_num_rows($query1);
 
//Si no hubo resultados...
if($num_res == '') {
header(location: error.php?id=1);
} else {
 
//Si hubo, compruebo que la categoria enviada por GET coincida con la categoria del tutorial...
$query_fetch = mysql_fetch_array($query1);
if($_GET['categoria'] != $query_fetch['categoria']) {
header(location: error.php?id=2);
}
 
}
 
mysql_free_result($query1);
 
.....

Espero sus comentarios :) un saludo

anacona16 · #2 (**permalink**) 30/01/2011, 10:44

Deberias comprobar primero si la variable existe, antes de hacer la consulta

Código PHP:

  if(!empty($_GET['id'])){ 
/*Codigo*/ 
}else{ 
header(location: error.php?id=1); 
}

y si es la variable es de tipo numero hacer lo siguiente

Código PHP:

  if(!empty($_GET['id']) && is_numeric($_GET['id'])){ 
/*Codigo*/ 
}else{ 
header(location: error.php?id=1); 
}

Me parece que deberias hacer eso antes de ejecutar la consulta.

kenproxd · #3 (**permalink**) 30/01/2011, 10:51

Tienes razón, se me estaba pasando eso. Muchas gracias!

si encuentran algún error o tienen una sugerencia haganmela saber porfavor :)

Gracias nuevamente @anacona16