Aqui esta lo prometido les muestro mi codigo

----------nuevanoticia.php----------

<?php
$con = mysql_connect("localhost","root","") or die (mysql_error());
mysql_select_db("BD",$con) or die (mysql_error());
if(($_POST['password'] == 'pass') && ($_POST['user'] == 'admin')) {
 
 $pass = $_POST['password'];
 $user = $_POST['user'];
 
 if(isset($_POST['titulo']) && isset($_POST['comentario'])) {
 
  $por = $_POST['por'];
  $titulo = $_POST['titulo'];
  $imagen = $_POST['imagen'];
  $comentario = $_POST['comentario'];
  $fuente = $_POST['fuente'];
  $fecha = time();
 
  $conecta ="INSERT INTO noticias(por, titulo, imagen, texto, visto, fecha) values ('$por', '$titulo', '$imagen', '$comentario', '$fuente', '$fecha');";
  $otro = mysql_query($conecta) or die(mysql_error());
 
  echo"<a href=index.php>Noticia incluida...</a> $por, $titulo
  <form method=\"post\" action=\"nuevanoticia.php\">
  <input type=\"hidden\" name=\"password\" value=\"$pass\">
  <input type=\"hidden\" name=\"user\" value=\"$user\">
  </form>";
 
 }
 
 if(empty($_POST['titulo']) && (empty($_POST['comentario']))) {
 
  echo"
    <form method=\"post\" action=\"nuevanoticia.php\">
 
     <input type=\"text\" name=\"por\">Por<br>
     <input type=\"text\" name=\"titulo\">Titulo<br>
     <input type=\"text\" name=\"imagen\">Imagen/Video<br>
     <input type=\"text\" name=\"fuente\">fuente<br>
     <input type=\"hidden\" name=\"password\" value=\"$pass\">
     <input type=\"hidden\" name=\"user\" value=\"$user\">
     <textarea name=\"comentario\"></textarea><br>
     <input type=\"submit\" value=\"Enviar\" name=\"enviar\">
 
    </form>";}
 
} else {
echo"
    <form method=\"post\" action=\"nuevanoticia.php\">
 
     Usuario<br><input type=\"text\" name=\"user\"><p>
     Contrase&ntilde;a<br><input type=\"text\" name=\"password\"><br>
     <input type=\"submit\" value=\"Entrar\">
 
    </form>";
}
?>

Segun yo no preocupo tanto por la seguridad de esta sección


----------index.php----------

<?php
$con = mysql_connect("localhost","root","") or die (mysql_error());
mysql_select_db("BD",$con) or die (mysql_error());
 
$respuesta=mysql_query("SELECT * FROM noticias ORDER BY id DESC") or die (mysql_error());
 
while($datos=mysql_fetch_array($respuesta)) {
 
$fecha = date("d/m/Y",$datos[fecha]);
echo "
        <div class=\"notitulo\">
          $datos[titulo];</div>
        <div class=\"viagen\">
          <img src=\"$datos[imagen]\" border=\"0\" alt=\"$datos[titulo]\" title=\"$datos[titulo]\"></div>
        <div class=\"informacion\">
          <div class=\"datos\">Fecha_</div>$fecha<div class=\"datos\">Fuente_</div>$datos[visto]</div>
        <div class=\"espnoti\">
          </div>
        <div class=\"conoti\">
          $datos[texto]... <a href=\"noticias.php?id=$datos[id]\">Leer mas...</a></div>";
}
?>

imprimo los registros de la tabla


----------noticias---------

<?php
$con = mysql_connect("localhost","root","") or die (mysql_error());
mysql_select_db("BD",$con) or die (mysql_error());
 
$respuesta=sprintf("select * from noticias where id='%s'", addcslashes(mysql_real_escape_string($_GET[id]),'%_'));
$query = mysql_query($respuesta);
 
if (mysql_num_rows($query) == 0) 
 
{ 
 
echo "Error"; 
 
} else {
 
while($datos=mysql_fetch_array($query)) {
 
echo "$datos[titulo]<br>$datos[texto]";
 
}
}
 
?>

aqui es donde seguramente recivire muchos regaños jojo no supe bien que hacer al ser el id un campo que el usuario no registra. He leido un poco lo de los caracteres que se le agregan como la comilla simple que se puede evitar con el get_magic_quotes_gpc() o con el UNION+SELECT aun que este ultimo no lo entiendo bien y bueno mientras les dejo el codigo y seguire leyendo sobre el SQLI

Carluis, no me parece fiable manejar las noticias con archivos, me parece mucho mas simple hacerlo en mysql