Buenas.

Tengo las herramientas, así que supongo que podré sacar lo que hacen por deducción pura, no obstante, si resubes el tutorial estaría genial.

Hola.

He buscado bastante sobre el tema y en ningún sitio he encontrado exactamente lo que necesitaba saber, así que voy a plantear mi pregunta de modo que pueda servir también a otros.

Ya conocemos las ventajas de programación dinámica en PHP, y las mejoras de escalabilidad que ofrecen las funciones e includes a la hora de modificar y adaptar un proyecto a necesidades futuras.

En algunos casos (cuando necesitamos que un dato sea retornado por el script) se utilizan funciones, y a la hora de añadir páginas que se repiten (como un menu) utilizamos includes, por lo general.

Pero hay situaciones en las que un include nos hace el mismo papel que una función, como por ejemplo a la hora de parsear elementos de un $_GET en ciertas situaciones. Cuando se dan estos casos, que resulta más eficiente para PHP; utilizar una función (o clase) o un include? Las variables del include (o require, por si acaso) estarán en el mismo ámbito en el que vana  ser utilizadas despues, por lo que llamarlas resultará mucho ,más eficiente, ademas, ahorraremos el tiempo de llamar a la función (que además deberá haber sido previamente incluida o se habrá tenido que crear una instancia, según el tipo de función), una vez terminada tendrá que devolver los valores y estos deberán ser almacenados. Todo este trabajo con el include no se realiza, pero PHP debe leer el fichero a incluir y ejecutarlo junto con lo demas, por lo tanto, mi pregunta en resumen es:
En igualdad de condiciones, que es mas eficiente, un include o una función?

Casi lo olvido, mysql_real_scape_string sera aplicado justo antes de usar las variables, pero algunas de ellas son susceptibles de ser usadas en includes o llamadas por ciertas funciones, lo que puede causar ciertos problemas de seguridad.

Lo que quiero saber es si ctype_alnum sera segura aunque al usuario se le ocurra meter el codigo en hexadecimal, decimal, binario o como se le ocurra.

Supongo que unos y ceros si que se saltarían la proteccion ctype_alnum, no?

Eso lo aplico una vez se hacen las consultas a la database; en el momento en que ctype se ejecuta no hay conexión activa con la DB (intento reducir al mínimo el tiempo de cada conexión viva)

El problema es que también hay algún include de por medio, y algún echo con las variables que hace que al ser imprimidas en la pantalla del user pueda resultar en riesgo de seguridad no solo para el servidor sino para el usuario final.

Ademas, algunas variables que son esencialmente enteros, vienen por GET separados por comas, es decir, para buscar contenidos del año 2005 al 2009 $_GET['year'] seria un string de la forma: 2005,2009, que posteriormente un explode romperá en un array para su analisis y con el objetivo de mejorar la escalabilidad

He usado un pc sin antivirus durante 2 años y cuando le instale el NOD32 no encontró nada.
Simplemente utilizo NoScript y cualquier sandbox para ejecutar el contenido "potencialmente peligroso" que no puedo evitar

Hola.

Estoy haciendo un diseño web en el cual hay de por medio un diseño de búsquedas.
A buscar.php se le pasarán por GET una serie de parámetros y éste se encargará de devolver el array que contiene la respuesta de la DB a la consulta.

Las queries se van a crear dentro de buscar.php, así que tengo que parsear las variables que llegan por GET.

Primero pensé en expresiones regulares o preg_replaces a secas para sustituir, pero luego me dije:
¿Por que tengo que gastar recursos del servidor en reescribir los intentos de un hijo de p*t* de buscar fallos en mi web? Y encontre ctype.
ctype_alnum($string) devuelve 1 si la string es alfanumérica.

Invocando ctype_alnum de esta forma:

Si no es positivo, no se asigna el $_GET a la variable y ese parametro de búsqueda queda no definido, o directamente se corta la ejecución del script.

Si se parsean así las variables ANTES DE HACER NADA MAS CON ELLAS, es seguro? o existe alguna forma de que alguien cuele SQL injection/ LFI /RFI/ cross-site scripting??

No hay, al menos open source.

Bajate o bien PHP Nuke 8 o bien MediaWiki si quieres estudiar una base de datos pensada para recibir mucha carga contínuamente.

Si lo que quieres es almacenar toda la película EN la base de datos y no solo sus detalles, no soy un experto, pero creo que para hacer queries de 400 megas sale mejor tener ficheros.

Lee algo sobre normalización de bases de datos, una base de datos por lo general debería ser forma normal 3.

Que quieres, MySQL? Postgre? No todas las bases son iguales, ni se expresan de la misma forma. Los dos que mencione antes utilizan MySQL

El problema es que hay líneas de código entre medio que deben ser ejecutadas si o si, y son distintas

Hola.
Estaba creando una web dinámica con php y me di cuenta de que necesitaba que el menú variase según en que módulo de la página nos encontrásemos, mostrando las subcategorías del módulo en el que nos encontramos, y no de otros. La variable $module es la que, en otras páginas, ha sido definida y tratada correctamente para contener solo los valores que nos interesan.

Como no se me ocurría ningún método mejor utilice un simple if para ejecutar o no ciertos echo; el código que utilice esta a continuacion.
Se os ocurre un método mejor de hacerlo o una forma de mejorar éste? Gracias.

Hola.

Estoy diseñando una DB y para que la organizacion del contenido sea natural se me ocurrio utilizar taxonomías (no voy a explicar detralladamente como funciona la tabla y organizacion porque no lo creo necesario para la pregunta)

Las tablas son asi:

Taxonomies:
TaxID   (pk)
TaxFatherID (fk related to Taxonomnies.TaxID)
TaxNameSpa
TaxNameEng


Peliculas
Mov.ID (pk)
MovTaxID (fk related to Taxonomy relacion 0 a 1)   -- Cada pelicula tendra su taxonomía propia!)
RestoTabla

Series
Ser.ID (pk)
SerTaxID (fk related to Taxonomy relacion 0 a 1)   -- Cada serie tendra su taxonomía propia!)
RestoTabla

TVFilms
TMov.ID (pk)
TMovTaxID (fk related to Taxonomy relacion 0 a 1)   -- Cada serie tendra su taxonomía propia!)
RestoTabla


Tengo 2 preguntas: Pueden las fk de TVFilms, series y pelis ser indices? Seria esto compatible con la forma normal 3? los elementos serian únicos, no es realmente necesario el surrogated key ModID

He leido en un documento de MySQL lo siguiente:
En la tabla que hace referencia, debe haber un índice donde las columnas de clave extranjera estén listadas en primer lugar, en el mismo orden.

Las taxonomías se crean a la vez que las pelis/series, así que el orden sera el mismo, pero por cada elemento en movies se preveen alrededor de 5-10 entradas en taxonomies, entre las que pertenecen a series,tvmovies y las subcategorias de cada una