|
Solo comentar que se deberia procesar la variable $buscar con alguna
funcion como mysql_real_escape_string antes de pasarsela al query.
El codigo que muestras permite ataques por injeccion de sql, simplemente poniendo el comando adecuado en el campo de busqueda de esa pagina web cualquiera te podria borrar la base de datos entera.
Saludos
|