Cita: Ahì es donde podrìa esta la falla de seguridad .. Si averigüas el URL de tu script validar_descarga.php .. podrías alterar su llamada.
Sí, pero además de que en este caso al validar un código lo "destruís", igual creo que tendrías más posibilidades de averiguar una combinación válida interceptando datos válidos mientras viajan no encriptados, que tratando de romper un md5.
Cita: pero yo insisto que todo esto si se dispone de BBDD (con acceso remoto permitido; cosa que sé que no todo proveedor deja este tipo de conexiones) se puede hacer bastante ràpido y muy seguro.
Creo que sería más práctico, también. (Aunque el hecho de que en este caso no se pueda acceder directamente a tu DB desde otro servidor también suma a la seguridad del sistema, me parece).
Suerte
Califa