----------nuevanoticia.php----------
Código
Segun yo no preocupo tanto por la seguridad de esta sección
<?php if(($_POST['password'] == 'pass') && ($_POST['user'] == 'admin')) { $pass = $_POST['password']; $user = $_POST['user']; $por = $_POST['por']; $titulo = $_POST['titulo']; $imagen = $_POST['imagen']; $comentario = $_POST['comentario']; $fuente = $_POST['fuente']; $conecta ="INSERT INTO noticias(por, titulo, imagen, texto, visto, fecha) values ('$por', '$titulo', '$imagen', '$comentario', '$fuente', '$fecha');"; echo"<a href=index.php>Noticia incluida...</a> $por, $titulo <form method=\"post\" action=\"nuevanoticia.php\"> <input type=\"hidden\" name=\"password\" value=\"$pass\"> <input type=\"hidden\" name=\"user\" value=\"$user\"> </form>"; } echo" <form method=\"post\" action=\"nuevanoticia.php\"> <input type=\"text\" name=\"por\">Por<br> <input type=\"text\" name=\"titulo\">Titulo<br> <input type=\"text\" name=\"imagen\">Imagen/Video<br> <input type=\"text\" name=\"fuente\">fuente<br> <input type=\"hidden\" name=\"password\" value=\"$pass\"> <input type=\"hidden\" name=\"user\" value=\"$user\"> <textarea name=\"comentario\"></textarea><br> <input type=\"submit\" value=\"Enviar\" name=\"enviar\"> </form>";} } else { echo" <form method=\"post\" action=\"nuevanoticia.php\"> Usuario<br><input type=\"text\" name=\"user\"><p> Contraseña<br><input type=\"text\" name=\"password\"><br> <input type=\"submit\" value=\"Entrar\"> </form>"; } ?>
----------index.php----------
Código
imprimo los registros de la tabla
<?php echo " <div class=\"notitulo\"> $datos[titulo];</div> <div class=\"viagen\"> <img src=\"$datos[imagen]\" border=\"0\" alt=\"$datos[titulo]\" title=\"$datos[titulo]\"></div> <div class=\"informacion\"> <div class=\"datos\">Fecha_</div>$fecha<div class=\"datos\">Fuente_</div>$datos[visto]</div> <div class=\"espnoti\"> </div> <div class=\"conoti\"> $datos[texto]... <a href=\"noticias.php?id=$datos[id]\">Leer mas...</a></div>"; } ?>
----------noticias---------
Código
aqui es donde seguramente recivire muchos regaños jojo no supe bien que hacer al ser el id un campo que el usuario no registra. He leido un poco lo de los caracteres que se le agregan como la comilla simple que se puede evitar con el get_magic_quotes_gpc() o con el UNION+SELECT aun que este ultimo no lo entiendo bien y bueno mientras les dejo el codigo y seguire leyendo sobre el SQLI
<?php $respuesta=sprintf("select * from noticias where id='%s'", addcslashes(mysql_real_escape_string($_GET[id]),'%_')); { echo "Error"; } else { echo "$datos[titulo]<br>$datos[texto]"; } } ?>