Este código les parece seguro para hacer una consulta a MySQL por parte de la url, es decir: http://page/hash << hash es la consulta
Código PHP:
require_once("../php/conf.php");
$conf = new configuration();
$link = $conf->connect();
function get_url() {
$parametros = array();
$url = parse_url($_SERVER['REQUEST_URI']);
foreach(explode("/", $url['path']) as $p)
if ($p!='') $parametros[] = $p;
return $parametros;
}
mysql_select_db($conf->database_1,$link);
$url=get_url();
$hash = $url[1];
$searchSQL = sprintf("SELECT * FROM `sys.user` WHERE `hash` = '%s' LIMIT 1",
mysql_real_escape_string(addslashes($hash))
);
$searchQUERY = mysql_query($searchSQL);