Pos nada, según lo comentado no es plan hacer esto algo personal gg, personalmente... para mí es un alivio cuando veo en los mensajes el nombre de Clúster, así que me sigo alegrando de tener tu ayuda por aquí... y en este sentido y escuchando tus consejos... así he acabado:
Código PHP:
if ( (isset($_GET['vcard'])) and (count($_GET)==1) and (eregi("[0-9]",$_GET['vcard'])) )
{
$ID_dir = $_GET['vcard'];
$myvcard = mysql_fetch_assoc(mysql_query("SELECT * FROM wp_directorio WHERE dir_id = '$ID_dir'"));
extract($myvcard);
header('Content-Type: text/x-vcard');
header('Content-Disposition: attachment; filename='.$nom.'.vcf');
echo"BEGIN:VCARD\nVERSION:2.1\nN:".$nom."\nADR:".$dir."\nTEL;VOICE:".$tel."\nTEL;FAX:".$fax."\nEMAIL:".$correo."\nEND:VCARD\n";
}
Juas juas
--- Edit: ya le meteré algo: sesión o algo para las llamadas externas pero por ahora... ups... supongo que podrían saturar la DB no?.... argggggg!
Aunque he de reconocer que me tentaba muuuuuchooo seguir por el otro camino hasta ver donde podría llegar con las encriptaciones :P
...que yo sabía que acabaría así xDD
PD: Sigo sin tener mucha idea de seguridad y si ese script seguiría siendo vulnerable por URL... :_(
Es decir... como decías, yo chequeo siempre las entradas de usuario (lo aprendí aquí :D ) pero no sé hasta que punto lo hago bien
Por ejemplo... he creido que con solo aceptar números sobraría hacer nada más (no recuerdo que se usaba para and estricto: || o && )