Perfil de usuario. Qué valores pasar por get?

reborn · #1 (**permalink**) 21/04/2011, 01:42

Buenas.

Quiero hacer un perfil de usuario y q lo vea de la forma http://sitioweb.com/perfil/nick_usuario
Con respecto a lo de verlo con url amigables no es problema. Lo q quiero saber es q valor paso por get?

Es seguro pasar por get el nick del usuario solo?, por ejemplo: perfil/perfil.php?perfil=usuario

Y el archivo perfil.php seria algo asi:

Código PHP:

  $perfil=htmlentities(htmlspecialchars($_GET['perfil']));

$pattern = "/[^A-Za-z0-9_]/";

if (!preg_match($pattern, $perfil)) 
{

require_once('conexion.php');
$sqlQuery=mysql_query("SELECT * FROM usuarios WHERE nickUsuario='$perfil'", $link)
          or die(mysql_error);

while ($resultado = mysql_fetch_array($sqlQuery))
{
$nickUs=$resultado['nickUsuario'];

//y todos los demas datos q van en el perfil
}

if ($nickUs == $perfil)
{

//muestro el perfil del usuario con ese nick

}else{
echo "No existe usuario";
}


}else{
echo "Error! Perfil inexistente";
}

...o tambien tendria que pasar el id de usuario?
perfil/perfil.php?perfil=usuario&id=1 , pero en ese caso como hago para q la url sea solamente perfil/nick_usuario?

Esa es mi consulta.

Gracias.

jerkan · #2 (**permalink**) 21/04/2011, 02:41

Todo depende de cómo tengas montada la base de datos. Si el campo nickUsuario es único (no pueden existir más de una entrada en la base de datos con el mismo nick), sólo te haría falta un campo. El id o el nick, no los dos.

Un saludo

reborn · #3 (**permalink**) 21/04/2011, 02:52

Claro, ya tengo armado todo.
No dejo q se repita ni el nick ni el email.
Solo queria saber si solo con el nick se puede mostrar el perfil, pero mas q nada por tema de seguridad, porq desconfio mas de datos alfanumericos q de un numero solo.
Como se ve en el ejemplo, filtro $perfil con htmlentities y specialchars, luego le pongo otra validacio con una expresion regular donde se fije q $perfil solo contenga letras, numeros y/o guion bajo.

La tabla contiene id auto incrementable, nick, pass, email, etc...

memoadian · #4 (**permalink**) 21/04/2011, 08:15

pues si puedes hacer esta consulta

SELECT * FROM users WHERE nick = "$_GET['nick']";

entonces claro que se puede, si tienes miedo por los alfanuméricos, con unos buenos filtros que borren signos raros ya tienes suficiente.

y otra cosa que podrías implementar, si la query te da cero resultados mandar el mensaje de "El usuario requerido no existe"; para que no suelte errores

reborn · #5 (**permalink**) 21/04/2011, 16:44

Muchas gracias por sus respuestas y su tiempo, me ha queado claro.
Saludos.