puntos importantes
- migrar mysql a PDO
- validar todos los datos de entrada (todos los formularios,etc...)
- validar correctamente la subida de imagenes y de que sea una imagen y no cualquier otra cosa
- antes de hacer las consutas guarda el dato que proviene del usuario en una base de datos o archivo de texto codificado para que no puedas sufrir daño y en caso de algun ataque, hecha mano a esa lista de datos para ver que han introducido y cual puede ser la causa del ataque , es importante guardar todos los datos, tanto de login intentos , posts, imagenes , etc....
te voy a poner un ejemplo basico de PDO
conexion.php
Código PHP:
Ver original<?php
$dsn = 'mysql:dbname=nombre_database;host=127.0.0.1';
$usuario = 'usuario';
$contraseña = 'contraseña';
try {
$gbd = new PDO($dsn, $usuario, $contraseña);
} catch (PDOException $e) {
exit('Se ha producido un error imposible continuar x0215484.'); }
?>
ahora en cualquier archivo
Código PHP:
Ver original<?php
include "conexion.php";
// hacemos una insercion
// $gbd es la instancia de la conexion
$sentencia = $gbd->prepare("INSERT INTO registros (nombre, valor) VALUES (:nombre, :valor)");
$sentencia->bindParam(':nombre', $nombre); // imaginemos que $nombre es $_REQUEST['nombre']
$sentencia->bindParam(':valor', $valor); // imaginemos que $valor es $_REQUEST['valor']
$nombre = 'un nombre';
$valor = 1465464;
$sentencia->execute(); // ejecutamos consulta
// ahora seleccionamos los datos
$sentencia = $gbd->prepare("SELECT * FROM registros WHERE nombre= ?");
$sentencia->execute(array($_SESSION['usuario']));
$result = $sentencia->fetch(PDO::FETCH_ASSOC);
echo $result['valor'];
?>