Bueno, talves te interese probar esto cuando termines de coregirlo:

http://www.usuarios.lycos.es/electronicapic/prueba.php?id=-1+union+select+user(),database()+/*

Te recomiendo que lo uses con mysql_real_escape_string()

$sql = "UPDATE contador SET descargas = descargas + 1
WHERE id = '".mysql_real_escape_string($GET[id])."';";

Lo que puedes hacer es obtener 'descargas', sumarlo y después insertarlo en la query, talves resulte o verifica desde el phpmyadmin porque esa consulta te está arrojando errores.

Mira, lo que yo siempre hago para ver algún error de sitnaxis en SQL imprimo en pantalla la query de la siguiente manera:

<?php
/* .. .. */
$query = "
insert into pale_loteria_nacional ('
".$primero."', '".$segundo."', '".$cantidad."', '".$agencia."
',)";
 
echo $query; exit(0);
/* .. .. */
?>

Después copio lo que me aparezca y lo pego en el phpmyadmin y al dar ejecutar este me dirá cual es el error detalladamente y en que linea se produjo, una forma eficaz para personas que saben lo básico sobre bases de datos MySQL.

Te sirve?

<?php
/* .. .. */
if(!$id){
 echo "<div class = 'diverror'>
<span style = 'color:#0000FF; font-size:14px'>
No se puede dejar el campo vacio</span></div>";
}else{
 $sql = "DELETE FROM socios WHERE idsocio = '".(int)$id."';";
 if(mysql_query($sql, $conex)){
  echo "<div class = 'diverror'>
<span style = 'color:#0000FF; font-size:14px'>
El usuario ah sido borrado correctamente.</span></div>";   
 }else{
  echo "<div class = 'diverror'>
<span style = 'color:#0000FF; font-size:14px'>
El usuario \"".htmlspecialchars($id,ENT_QUOTES)."\" NO existe.</span></div>";   
 }
}
/* .. .. */
?>
 

Ni se te ocurra procesar $client en una query hacia la base de datos sin antes filtrarlo ya que agregando slashses no solucionas una inyección sql ni un xss.

Ese error te está diciendo que hay una linea sin terminar, por ejemplo puede que le falte el ";" al final o que no hayas cerrado un parentesis o algo por el estilo.

Por lo que escribiste veo dos fallas, uno que le falta el ";" al final y lo otro que para hacer una consulta hacia la base de datos debes utilizar funciones y no escribirlo directamente sobre el código php, por ejemplo como te dijeron mas arriba:

$sql = "
INSERT INTO pale_loteria_nacional (primero, segundo, cantidad, agencia) 
VALUES ('$primero', '$segundo', '$cantidad', '$agencia');
";
 

Con eso estarías definiendo la consulta que vas a hacer, ahora debes realizar la consulta con
mysql_pconnect()
mysql_select_db()
mysql_query(,)
mysql_fetch_row()
mysql_free_result()
mysql_close()

Te recomiendo que leas un poco para que puedas tener la idea un poco mas clara:
http://cl2.php.net/mysql

Sin mas que decir te recomioendo que no expongas las variables directamente sobre la consulta mysql o tendrás graves problemas de seguridad, lee también sobre injección sql:
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL

Para evitar estas cosas lee sobre la función mysql_real_escape_string() y set_magic_quotes_runtime()

<?php
/*  .. ..  */
 
set_magic_quotes_runtime(0);
error_reporting(0);
 
$servidor_bd = 'Localhost';
$basededatos = 'nombre de la base de datos';
$usuario_bd  = 'usuario de la base de datos';
$pass_bd = 'contraseña del usuario de la base de datos';
 
if(!$conectar_sql = mysql_pconnect($servidor_bd, $usuario_bd, $pass_bd)){
 echo "No se puede conectar a la base de datos";
 exit(1);
}else{
 if(!mysql_select_db($basededatos,$conectar_sql)){
  echo "No existe la base de datos seleccionada";
  exit(1);
 }
}
 
$sql = "
INSERT INTO pale_loteria_nacional (primero, segundo, cantidad, agencia) 
VALUES ('".
mysql_real_escape_string($primero)."', '".
mysql_real_escape_string($segundo)."', '".
(int)$cantidad."', '".
mysql_real_escape_string($agencia)."');
";
 
if(mysql_query($sql,$conectar_sql)){
 echo "Datos insertados dentro de la base de datos.";
}else{
 echo "No se pudo establecer los valores dentro de la base de datos.";
}
 
/*  .. ..  */
?>
 

http://cl2.php.net/manual/es/function.mysql-real-escape-string.php
http://cl2.php.net/manual/es/function.set-magic-quotes-runtime.php

Si después de todo esto todavía tienes preguntas puedes volver a hacerlas acá mismo.

En mysql solo bastaría con hacer una querye buscando la tabla donde se alojan las cantidades de descargas totales donde cuando alguien descarga algo entonces esa tabla se actualiza con UPDATE, hecha un vistazo a mi sistema filemanager aver si te da nuevas ideas, hasta podrías hacer tu propio sistema

https://sourceforge.net/projects/whkfilemanager/

Ahora de ti depende si el UPDATE lo haces antes o después de terminar la descarga, así solo tu sabes si el contador es por las descargas reales o con intentos frustrados nincluidos 
Ahi un ejemplo de como queda:

http://www.jccharry.com/descargas/

Recuerdo que un dia que puse un sistema prefabricado tube problemas ya que ese sistema traia fallas y debido a eso alguien pudo ingresar a mi servidor por lo cual me decidí a crear mi propio sistema para ya no tener mas problemas o por lo menos no confiar en sistemas que uno no conoce que tan seguros son.

<form...>
<?php
foreach ($alumnos as $variable => $valor){
 echo '
<input type="checkbox" name="'.$variable[$valor].'" value="1" />presente<br />
<input type="checkbox" name="'.$variable[$valor].'" value="2" />atrasado<br />
 ';
} 
?>
</form>
 

Te sirve?

Una forma que yo utilizo es la siguiente:

$sql = "
 SELECT `estado` FROM `paginas` 
 WHERE `id` 
 LIKE CONVERT(_utf8 '".mysql_real_escape_string($_GET[$variable_std])."' USING latin1) 
 COLLATE latin1_swedish_ci
 LIMIT 1;";

Para Ingresar carácteres normales dentro de una query, base64 si es una buena idea, es mas, así lo hice yo en mi sistema filemanager pero lo malo es que después si quieres modificar la base de datos o crear un buscador será muy dificil.

$sql = "
 SELECT `sección` FROM `paginas` 
 WHERE `id` 
 LIKE CONVERT(_utf8 '".(int)$_GET[$variable_num])."' USING latin1) 
 COLLATE latin1_swedish_ci
 LIMIT 1;";

Al preestablecer (int) antepuesto a una variable o constante estás declarando que solo se aceptarán datos numéricos evitando también una inyección sql como por ejemplo index.php?id=-1+union+all+select+1,2,3...
Y cuando hago un Select y necesito una sola columna siempre termino en LIMIT 1 para evitar posibles fugas.

mysql_real_escape_string() Esta función te permite evitar inyecciones sql siempre y cuando el valor esté encerrado dentro de comillas ya que desde acá no podrás escapar con ningún tipo de carácter.
Ahora también es bueno eliminar los slashses que agrega el apache de la siguiente forma:

set_magic_quotes_runtime(0);

Eso es lo que se yo sobre seguridad básica cuando programas en php utilizando mysql.

Prueba con esto:

<?php
 
session_start(); 
$user = $_POST["usuario"].":".$_POST["contraseña"];
 
switch($user){
 case "carlos:xxxx" : 
  $_SESSION["autentificado"]= "SI"; break;
 case "angel:atleti" : 
  $_SESSION["autentificado"]= "SI"; break;
 case "jluis:holaa" : 
  $_SESSION["autentificado"]= "SI"; break;   
 default :
  $_SESSION["autentificado"]= "NO"; break;   
}
 
if($_SESSION["autentificado"] == "SI"){
 header ("Location: 312.html");
}else{
 header("Location: asdas.php?errorusuario=si");
}
 
?>

De todas formas te recomiendo no usar la variable "contraseña" debido a la letra "ñ" ya que es un carácter especial y a veces da problemas al momento de programar.

Gracias a ambos, probaré con lo del php.ini primero porque no tengo la shell de mi servidor, si no resulta ahi veo que hago.