Hola PHPeros, ayer ferdi me mandó un mensaje privado indicándome que si le podría ayudar con esta variable global y claro, evidentemente le dije
que sí y aquí estoy. La verdad es que es muy fácil su uso. Te explicaré como funciona $_GET y como protegerte de ataques SQL malintencionados.

- Un resumen en dibujo para $_POST[]


- Un resumen en dibujo para $_GET[]

---

La explocación de $_POST creerás que no viene al cuento pero si importa para diferenciar el uso de $_GET y $_POST. Si has entendido el dibujo,
sigue leyendo lo que viene ahora despues si no, no sigas leyendo hasta que hayas entendido los dibujos.

- El uso de GET
Tal y como te expliqué en el dibujo, $_GET[''] recoge los valores de la barra de direcciones del navegador pero hay que tener mucho cuidado con
el uso que le das ya que te podrían hacer ataques maliciosos. Bueno, aquí un ejemplo del uso de $_GET[''];


<?php
// Imaginemos que la URL es: http://mipaginaweb.com/index.php?usuario=Siquillote&nombre=AngelSamuel
$cadena_uno = $_GET[&#39;usuario&#39;]; // Esto recogería Siquillote
$cadena_dos = $_GET[&#39;nombre&#39;]; // Esto recogería AngelSamuel.

$texto = &#39;Su nick es &#39;.$cadena_uno.&#39; y su nombre real es &#39;.$cadena_dos.&#39;&#39;;
echo $texto; // Devolvería: Su nick es Siquillote y su nombre real es AngelSamuel
?>


Si vas a usar el método GET para hacer consultas a tu base de datos, lo mejor es proteger este metodo con algunas funciones como htmlentities() o htmlspecialchars(). ¿Que hacen estas funciones?. Lo que hacen es pasar una cadena de texto que contenga caracteres html a caracteres como & o &ap o algo así.

Imaginate que en la URL, pusieramos <script>alert('Hola')</script>  en el navegador no saldría un texto idicando como  <script>alert('Hola')</script>si no que saldría una alerta diciendo Hola. Mira la imagen que es lo que saldría: Por eso siempre hay que proteger las variebles $_POST[] y $_GET[] con las funciones que te indique antes

---

- Protegerse de ataques maliciosos sobre $_GET[]
Para evitar lo anterior y posibles SQL injectiones, vamos a poner en practica las funciones para pasar esos caracteres a invalidos para que no nos
puedan hacer nada. Voy a publicar las 2 funciones con 2 ejemplos en el mismo codigo. Mira:

limpiar.php

<?php
<?php
function Limpiar($cadena){
   $limpiar_uno = htmlentities($cadena);
   $limpiar_dos = htmlspecialchars($cadena);
   $texto = &#39;Con htmlentities: &#39;.$limpiar_uno.&#39;<br> Con htmlspecialchars: &#39;.$limpiar_dos.&#39;&#39;;
        echo $texto;
}

Limpiar($_GET[&#39;texto&#39;]);
// Prueba a ejecutar este archivo en la siguiente URL: limpiar.php?texto=Loquetedelarealgana. XDD
?>

---

Bueno, ferdi, pues esto es todo lo que he podido enseñarte, espero que lo hayas entendido a la perfección.

No ferdi, la cosa trata de que eso lo hagas tu, cogete el archivo y llamalo por ejemplo get.php, luego vas a tu archivo subido a internet, get.php?usuario=Siquillote&nombre=aaaaa.

Y lo del form, si quieres, hazlo.

Gracias .

La mejor solución para evitar ataques xss, es utilizar
htmlspecialchars($variable, ENT_QUOTES);

Simplemente porque el atributo ENT_QUOTES permite escapar cualquier caracter especial a htmlentities.