Cómo Crea un Foro Potenciado por PHP/MySQL desde Cero

Spanish (Español) translation by Jorge Montoya (you can also view the original English article)

En este tutorial, vamos a construir un foro con PHP / MySQL desde cero. Este tutorial es perfecto para acostumbrarse al uso básico de PHP y de bases de datos. Empecemos!

Paso 1: Crear las Tablas de la Base de Datos

Siempre es una buena idea comenzar con la creación de un buen modelo de datos al crear una aplicación. Vamos a describir nuestra aplicación en una frase: vamos a hacer un foro que tenga usuarios que creen temas en varias categorías. Otros usuarios pueden publicar respuestas. Como puede ver, destaqué un par de sustantivos que representan nuestros nombres de tabla.

Usuarios

Categorías
Temas
Publicaciones

Estos tres objetos están relacionados entre sí, por lo que procesaremos eso en nuestro diseño de tabla. Eche un vistazo al esquema a continuación.

Se ve bastante bien, ¿verdad? Cada cuadrado es una tabla de base de datos. Todas las columnas se enumeran en ella y las líneas entre ellas representan las relaciones. Las explicaré más a fondo, así que está bien si no tiene mucho sentido para usted en este momento.

Discutiré cada tabla explicando el SQL, que creé usando el esquema anterior. Para sus propios scripts puede crear un esquema similar y SQL también. Algunos editores como MySQL Workbench (el que utilicé) también pueden generar archivos .sql, pero recomendaría aprender SQL porque es más divertido hacerlo usted mismo. Se puede encontrar una introducción a SQL en W3Schools.

Tabla de Usuarios

CREATE TABLE users (
user_id   INT(8) NOT NULL AUTO_INCREMENT,
user_name	VARCHAR(30) NOT NULL,
user_pass  	VARCHAR(255) NOT NULL,
user_email	VARCHAR(255) NOT NULL,
user_date	DATETIME NOT NULL,
user_level	INT(8) NOT NULL,
UNIQUE INDEX user_name_unique (user_name),
PRIMARY KEY (user_id)
) TYPE=INNODB;

La instrucción CREATE TABLE se usa para indicar que queremos crear una nueva tabla, por supuesto. La declaración es seguida por el nombre de la tabla y todas las columnas se enumeran entre los corchetes. Los nombres de todos los campos se explican por sí mismos, por lo que solo analizaremos los tipos de datos a continuación.

user_id

"Una clave principal se usa para identificar de manera única cada fila en una tabla".

El tipo de este campo es INT, lo que significa que este campo contiene un número entero. El campo no puede estar vacío (NOT NULL) y aumenta con cada registro insertado. En la parte inferior de la tabla, puede ver que el campo user_id se declara como clave principal. Una clave principal se usa para identificar de manera única cada fila en una tabla. No hay dos filas distintas en una tabla que puedan tener el mismo valor (o combinación de valores) en todas las columnas. Eso podría ser un poco confuso, así que aquí hay un pequeño ejemplo.

Hay un usuario llamado John Doe. Si otro usuario se registra con el mismo nombre, hay un problema, porque: ¿qué usuario es cuál? No se puede decir y la base de datos tampoco puede decir. Al usar una clave principal, este problema se resuelve porque ambos temas son únicos.

Todas las otras tablas también tienen teclas principales y funcionan de la misma manera.

user_name

Este es un campo de texto, llamado campo VARCHAR en MySQL. El número entre corchetes es la longitud máxima. Un usuario puede elegir un nombre de usuario de hasta 30 caracteres de largo. Este campo no puede ser NULL. En la parte inferior de la tabla, puede ver que este campo se declara UNIQUE, lo que significa que el mismo nombre de usuario no se puede registrar dos veces. La parte UNIQUE INDEX le dice a la base de datos que queremos agregar una clave única. Luego definimos el nombre de la clave única, user_name_unique en este caso. Entre paréntesis está el campo al que se aplica la clave única, que es user_name.

user_pass

Este campo es igual al campo user_name, excepto la longitud máxima. Dado que la contraseña del usuario, sin importar la longitud, tiene hash con sha1(), la contraseña siempre tendrá 40 caracteres de largo.

user_email

Este campo es igual al campo user_pass.

user_date

Este es un campo en el que almacenaremos la fecha en que el usuario se registró. Su tipo es DATETIME y el campo no puede ser NULL.

user_level

Este campo contiene el nivel del usuario, por ejemplo: '0' para un usuario regular y '1' para un administrador. Más sobre esto más tarde.

Tabla de Categorías

CREATE TABLE categories (
cat_id 		 	INT(8) NOT NULL AUTO_INCREMENT,
cat_name	 	VARCHAR(255) NOT NULL,
cat_description 	VARCHAR(255) NOT NULL,
UNIQUE INDEX cat_name_unique (cat_name),
PRIMARY KEY (cat_id)
) TYPE=INNODB;

Estos tipos de datos básicamente funcionan de la misma manera que los de la tabla de usuarios. Esta tabla también tiene una clave principal y el nombre de la categoría debe ser único.

Tabla de Temas

CREATE TABLE topics (
topic_id		INT(8) NOT NULL AUTO_INCREMENT,
topic_subject  		VARCHAR(255) NOT NULL,
topic_date		DATETIME NOT NULL,
topic_cat		INT(8) NOT NULL,
topic_by		INT(8) NOT NULL,
PRIMARY KEY (topic_id)
) TYPE=INNODB;

Esta tabla es casi la misma que las otras tablas, a excepción del campo topic_by. Ese campo se refiere al usuario que creó el tema. El campo topic_cat se refiere a la categoría a la que pertenece el tema. No podemos forzar estas relaciones simplemente declarando el campo. Tenemos que dejar que la base de datos sepa que este campo debe contener un user_id existente de la tabla de usuarios, o un cat_id válido de la tabla de categorías. Agregaremos algunas relaciones después de haber discutido la tabla de publicaciones.

Tabla de Publicaciones

CREATE TABLE posts (
post_id 		INT(8) NOT NULL AUTO_INCREMENT,
post_content		TEXT NOT NULL,
post_date 		DATETIME NOT NULL,
post_topic		INT(8) NOT NULL,
post_by		INT(8) NOT NULL,
PRIMARY KEY (post_id)
) TYPE=INNODB;

Esto es lo mismo que el resto de las tablas; también hay un campo que hace referencia a un user_id aquí: el campo post_by. El campo post_topic se refiere al tema al que pertenece la publicación.

"Una clave externa es una restricción referencial entre dos tablas. La clave externa identifica una columna o un conjunto de columnas en una tabla (de referencia) que hace referencia a una columna o conjunto de columnas en otra tabla (referenciada)".

Ahora que hemos ejecutado estas consultas, tenemos un modelo de datos bastante decente, pero las relaciones aún faltan. Comencemos con la definición de una relación. Vamos a usar algo llamado clave externa. Una clave externa es una restricción referencial entre dos tablas. La clave externa identifica una columna o un conjunto de columnas en una tabla (de referencia) que hace referencia a una columna o conjunto de columnas en otra tabla (referenciada). Algunas condiciones:

La columna en la tabla de referencia a la que se refiere la clave externa debe ser una clave primaria
Los valores a los que se hace referencia deben existir en la tabla a la que se hace referencia

Al agregar claves externas, la información se vincula entre sí, lo cual es muy importante para la normalización de la base de datos. Ahora sabe qué es una clave externa y por qué las usamos. Es hora de agregarlas a las tablas que ya hemos creado utilizando la instrucción ALTER, que se puede usar para cambiar una tabla ya existente.

Primero vincularemos los temas a las categorías:

1	ALTER TABLE topics ADD FOREIGN KEY(topic_cat) REFERENCES categories(cat_id) ON DELETE CASCADE ON UPDATE CASCADE;

La última parte de la consulta ya dice lo que sucede. Cuando una categoría se elimina de la base de datos, también se eliminarán todos los temas. Si el cat_id de una categoría cambia, todos los temas se actualizarán también. Para eso es la parte de ON UPDATE CASCADE. Por supuesto, puede revertir esto para proteger sus datos, de modo que no pueda eliminar una categoría, siempre y cuando todavía tenga temas vinculados a ella. Si desea hacer eso, puede reemplazar la parte 'ON DELETE CASCADE' con 'ON DELETE RESTRICT'. También hay SET NULL y NO ACTION, que hablan por sí mismos.

Todos los temas están vinculados a una categoría ahora. Vamos a vincular los temas con el usuario que crea uno.

1	ALTER TABLE topics ADD FOREIGN KEY(topic_by) REFERENCES users(user_id) ON DELETE RESTRICT ON UPDATE CASCADE;

Esta clave externa es la misma que la anterior, pero hay una diferencia: el usuario no puede eliminarse mientras haya temas con la identificación del usuario. No usamos CASCADE aquí porque podría haber información valiosa en nuestros temas. No deseamos que esa información se borre si alguien decide eliminar su cuenta. Para dar a los usuarios la oportunidad de eliminar su cuenta, puede crear alguna característica que anonimice todos sus temas y luego eliminar su cuenta. Desafortunadamente, eso está más allá del alcance de este tutorial.

Enlace las publicaciones a los temas:

1	ALTER TABLE posts ADD FOREIGN KEY(post_topic) REFERENCES topics(topic_id) ON DELETE CASCADE ON UPDATE CASCADE;

Y finalmente, vincule cada publicación al usuario que la realizó:

1	ALTER TABLE posts ADD FOREIGN KEY(post_by) REFERENCES users(user_id) ON DELETE RESTRICT ON UPDATE CASCADE;

¡Esa es la parte de la base de datos! Fue bastante trabajo, pero el resultado, un gran modelo de datos, definitivamente vale la pena.

Paso 2: Introducción al Sistema de Encabezado y Pie de Página

Cada página de nuestro foro necesita algunas cosas básicas, como un doctype y algo de marcado. Es por eso que incluiremos un archivo header.php en la parte superior de cada página y un footer.php en la parte inferior. El header.php contiene un doctype, un enlace a la hoja de estilo y cierta información importante sobre el foro, como la etiqueta del título y las metaetiquetas.

header.php

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN"
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="nl" lang="nl">
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
	<meta name="description" content="A short description." />
	<meta name="keywords" content="put, keywords, here" />
	<title>PHP-MySQL forum</title>
	<link rel="stylesheet" href="style.css" type="text/css">
</head>
<body>
<h1>My forum</h1>
	<div id="wrapper">
	<div id="menu">
		<a class="item" href="/forum/index.php">Home</a> -
		<a class="item" href="/forum/create_topic.php">Create a topic</a> -
		<a class="item" href="/forum/create_cat.php">Create a category</a>
		
		<div id="userbar">
		<div id="userbar">Hello Example. Not you? Log out.</div>
	</div>
		<div id="content">

El div wrapper se usará para facilitar el estilo de toda la página. El div menu obviamente contiene un menú con enlaces a páginas que todavía tenemos que crear, pero ayuda un poco a ver hacia dónde vamos. El div userbar se usará para una pequeña barra superior que contiene cierta información como el nombre de usuario y un enlace a la página de cierre de sesión. La página de contenido abarca el contenido real de la página, obviamente.

El lector atento quizás ya haya notado que nos faltan algunas cosas. No hay etiqueta </body> o </html>. Están en la página footer.php, como puede ver a continuación.

</div><!-- content -->
</div><!-- wrapper -->
<div id="footer">Created for Nettuts+</div>
</body>
</html>

Cuando incluimos un encabezado y un pie de página en cada página, el resto de la página queda incrustado entre el encabezado y el pie de página. Este método tiene algunas ventajas. En primer lugar, todo se diseñará correctamente. Un pequeño ejemplo:

<?php
$error = false;
if($error = false)
{
 	//the beautifully styled content, everything looks good
 	echo '<div id="content">some text</div>';
}
else
{
 	//bad looking, unstyled error :-( 
} 
?>

Como puede ver, una página sin errores dará como resultado una buena página con el contenido. Pero si hay un error, todo se ve realmente feo; así que es por eso que es mejor asegurarse de que no solo el contenido real tenga el estilo correcto, sino también los errores que podamos obtener.

Otra ventaja es la posibilidad de hacer cambios rápidos. Puede verlo usted mismo editando el texto en footer.php cuando haya terminado este tutorial; Notará que el pie de página cambia en cada página de inmediato. Finalmente, agregamos una hoja de estilo que nos proporciona un marcado básico, nada demasiado sofisticado.

body {
	background-color: #4E4E4E;
	text-align: center;			/* make sure IE centers the page too */
}

#wrapper {
	width: 900px;
	margin: 0 auto; 			/* center the page */
}

#content {
	background-color: #fff;
	border: 1px solid #000;
	float: left;
	font-family: Arial;
	padding: 20px 30px;
	text-align: left;
	width: 100%;				/* fill up the entire div */
}

#menu {
	float: left;
	border: 1px solid #000;
	border-bottom: none;		/* avoid a double border */
	clear: both;				/* clear:both makes sure the content div doesn't float next to this one but stays under it */
	width:100%;
	height:20px;
	padding: 0 30px;
	background-color: #FFF;
	text-align: left;
	font-size: 85%;
}

#menu a:hover {
	background-color: #009FC1;
}

#userbar {
	background-color: #fff;
	float: right;
	width: 250px;
}

#footer {
	clear: both;
}

/* begin table styles */
table {
	border-collapse: collapse;
	width: 100%;
}

table a {
	color: #000;
}

table a:hover {
	color:#373737;
	text-decoration: none;
}

th {
	background-color: #B40E1F;
	color: #F0F0F0;
}

td {
	padding: 5px;
}

/* Begin font styles */
h1, #footer {
	font-family: Arial;
	color: #F1F3F1;
}

h3 {margin: 0; padding: 0;}

/* Menu styles */
.item {
	background-color: #00728B;
	border: 1px solid #032472;
	color: #FFF;
	font-family: Arial;
	padding: 3px;
	text-decoration: none;
}

.leftpart {
	width: 70%;
}

.rightpart {
	width: 30%;
}

.small {
	font-size: 75%;
	color: #373737;
}
#footer {
	font-size: 65%;
	padding: 3px 0 0 0;
}

.topic-post {
	height: 100px;
	overflow: auto;
}

.post-content {
	padding: 30px;
}

textarea {
	width: 500px;
	height: 200px;
}

Paso 3: Preparándose para la Acción

Antes de que podamos leer algo de nuestra base de datos, necesitamos una conexión. Para eso está connect.php. Lo incluiremos en cada archivo que vamos a crear.

<?php
//connect.php
$server	= 'localhost';
$username	= 'usernamehere';
$password	= 'passwordhere';
$database	= 'databasenamehere';

if(!mysql_connect($server, $username,  $password))
{
 	exit('Error: could not establish database connection');
}
if(!mysql_select_db($database)
{
 	exit('Error: could not select the database');
}
?>

Simplemente reemplace los valores predeterminados de las variables en la parte superior de la página con su propia fecha, guarde el archivo y ¡listo!

Paso 4: Visualización de la Descripción General del Foro

Como recién comenzamos con algunas técnicas básicas, por ahora vamos a hacer una versión simplificada de la descripción general del foro.

<?php
//create_cat.php
include 'connect.php';
include 'header.php';
		
echo '<tr>';
	echo '<td class="leftpart">';
		echo '<h3><a href="category.php?id=">Category name</a></h3> Category description goes here';
	echo '</td>';
	echo '<td class="rightpart">';				
			echo '<a href="topic.php?id=">Topic subject</a> at 10-10';
	echo '</td>';
echo '</tr>';
include 'footer.php';
?>

Ahí lo tiene: una visión general agradable y limpia. Vamos a actualizar esta página a lo largo del tutorial para que se parezca más al resultado final, ¡paso a paso!

Paso 5: Registrándose como Usuario

Comencemos haciendo un formulario HTML simple para que un nuevo usuario pueda registrarse.

Se necesita una página de PHP para procesar el formulario. Vamos a usar una variable $_SERVER. La variable $_SERVER es un array con valores que se establecen automáticamente con cada solicitud. Uno de los valores del array $_SERVER es 'REQUEST_METHOD'. Cuando se solicita una página con GET, esta variable contendrá el valor 'GET'. Cuando se solicita una página a través de POST, mantendrá el valor 'POST'. Podemos usar este valor para verificar si un formulario ha sido publicado. Vea la página signup.php a continuación.

<?php
//signup.php
include 'connect.php';
include 'header.php';

echo '<h3>Sign up</h3>';

if($_SERVER['REQUEST_METHOD'] != 'POST')
{
    /*the form hasn't been posted yet, display it
	  note that the action="" will cause the form to post to the same page it is on */
    echo '<form method="post" action="">
 	 	Username: <input type="text" name="user_name" />
 		Password: <input type="password" name="user_pass">
		Password again: <input type="password" name="user_pass_check">
		E-mail: <input type="email" name="user_email">
 		<input type="submit" value="Add category" />
 	 </form>';
}
else
{
    /* so, the form has been posted, we'll process the data in three steps:
		1.	Check the data
		2.	Let the user refill the wrong fields (if necessary)
		3.	Save the data 
	*/
	$errors = array(); /* declare the array for later use */
	
	if(isset($_POST['user_name']))
	{
		//the user name exists
		if(!ctype_alnum($_POST['user_name']))
		{
			$errors[] = 'The username can only contain letters and digits.';
		}
		if(strlen($_POST['user_name']) > 30)
		{
			$errors[] = 'The username cannot be longer than 30 characters.';
		}
	}
	else
	{
		$errors[] = 'The username field must not be empty.';
	}
	
	
	if(isset($_POST['user_pass']))
	{
		if($_POST['user_pass'] != $_POST['user_pass_check'])
		{
			$errors[] = 'The two passwords did not match.';
		}
	}
	else
	{
		$errors[] = 'The password field cannot be empty.';
	}
	
	if(!empty($errors)) /*check for an empty array, if there are errors, they're in this array (note the ! operator)*/
	{
		echo 'Uh-oh.. a couple of fields are not filled in correctly..';
		echo '<ul>';
		foreach($errors as $key => $value) /* walk through the array so all the errors get displayed */
		{
			echo '<li>' . $value . '</li>'; /* this generates a nice error list */
		}
		echo '</ul>';
	}
	else
	{
		//the form has been posted without, so save it
		//notice the use of mysql_real_escape_string, keep everything safe!
		//also notice the sha1 function which hashes the password
		$sql = "INSERT INTO
					users(user_name, user_pass, user_email ,user_date, user_level)
				VALUES('" . mysql_real_escape_string($_POST['user_name']) . "',
					   '" . sha1($_POST['user_pass']) . "',
					   '" . mysql_real_escape_string($_POST['user_email']) . "',
						NOW(),
						0)";
						
		$result = mysql_query($sql);
		if(!$result)
		{
			//something went wrong, display the error
			echo 'Something went wrong while registering. Please try again later.';
			//echo mysql_error(); //debugging purposes, uncomment when needed
		}
		else
		{
			echo 'Successfully registered. You can now <a href="signin.php">sign in</a> and start posting! :-)';
		}
	}
}

include 'footer.php';
?>

Hay mucha explicación en los comentarios que hice en el archivo, así que asegúrese de revisarlos. El procesamiento de los datos se lleva a cabo en tres partes:

Validando los datos
Si los datos no son válidos, muestre el formulario de nuevo
Si los datos son válidos, guarde el registro en la base de datos

La parte de PHP es bastante autoexplicativa. La consulta SQL, sin embargo, probablemente necesite un poco más de explicación.

INSERT INTO
       users(user_name, user_pass, user_email ,user_date, user_level)
VALUES('" . mysql_real_escape_string($_POST['user_name']) . "',
       '" . sha1($_POST['user_pass']) . "',
       '" . mysql_real_escape_string($_POST['user_email']) . "',
       NOW(),	
       0);

En la línea 1 tenemos la declaración INSERT INTO que habla por sí misma. El nombre de la tabla se especifica en la segunda línea. Las palabras entre corchetes representan las columnas en las que queremos insertar los datos. La declaración VALUES indica a la base de datos que hemos terminado declarando los nombres de las columnas y es hora de especificar los valores. Aquí hay algo nuevo: mysql_real_escape_string. La función escapa de los caracteres especiales en una cadena no escapada, así que es seguro colocarla en una consulta. Esta función DEBE ser siempre utilizada, con muy pocas excepciones. Hay demasiados scripts que no lo usan y que pueden ser hackeados realmente fáciles. No corra el reisgo, use mysql_real_escape_string().

"Nunca inserte una contraseña simple tal como está. DEBE cifrarla siempre".

Además, puede ver que la función sha1() se usa para encriptar la contraseña del usuario. Esto también es algo muy importante para recordar. Nunca inserte una contraseña simple tal cual. DEBE siempre encriptarla. Imagine un hacker que de alguna manera logra acceder a su base de datos. Si ve todas las contraseñas de texto sin formato, puede iniciar sesión en cualquier cuenta (administrativa) que desee. Si las columnas de contraseña contienen cadenas sha1, tiene que descifrarlas primero, lo que es casi imposible.

Nota: también es posible usar md5(), siempre uso sha1() porque los puntos de referencia han demostrado que es un poco más rápido, aunque no demasiado. Puede reemplazar sha1 con md5 si lo desea.

Si el proceso de registro fue exitoso, debería ver algo como esto:

Intente actualizar su pantalla phpMyAdmin, un nuevo registro debería ser visible en la tabla de usuarios.

Paso 6: Agregar Autenticación y Niveles de Usuario

Un aspecto importante de un foro es la diferencia entre los usuarios habituales y los administradores/moderadores. Dado que este es un foro pequeño y adicionar funciones como agregar nuevos moderadores y cosas así tomaría demasiado tiempo, nos enfocaremos en el proceso de inicio de sesión y crearemos algunas funciones de administración, como crear nuevas categorías y cerrar un hilo.

Ahora que ha completado el paso anterior, vamos a hacer que su cuenta recién creada sea una cuenta de administrador. En phpMyAdmin, haga clic en la tabla de usuarios y luego en 'Navegar'. Su cuenta probablemente aparecerá de inmediato. Haga clic en el icono de edición y cambie el valor del campo user_level de 0 a 1. Eso es todo por ahora. No notará ninguna diferencia en nuestra aplicación de inmediato, pero cuando agreguemos las características de administración una cuenta normal y su cuenta tendrán diferentes capacidades.

El proceso de inicio de sesión funciona de la siguiente manera:

Un visitante ingresa los datos del usuario y envía el formulario
Si el nombre de usuario y la contraseña son correctos, podemos iniciar una sesión
Si el nombre de usuario y la contraseña son incorrectos, mostramos el formulario nuevamente con un mensaje

El archivo signin.php está debajo. No crea que no estoy explicando lo que estoy haciendo, pero revise los comentarios en el archivo. Es mucho más fácil de entender de esa manera.

<?php
//signin.php
include 'connect.php';
include 'header.php';

echo '<h3>Sign in</h3>';

//first, check if the user is already signed in. If that is the case, there is no need to display this page
if(isset($_SESSION['signed_in']) && $_SESSION['signed_in'] == true)
{
	echo 'You are already signed in, you can <a href="signout.php">sign out</a> if you want.';
}
else
{
	if($_SERVER['REQUEST_METHOD'] != 'POST')
	{
		/*the form hasn't been posted yet, display it
		  note that the action="" will cause the form to post to the same page it is on */
		echo '<form method="post" action="">
			Username: <input type="text" name="user_name" />
			Password: <input type="password" name="user_pass">
			<input type="submit" value="Sign in" />
		 </form>';
	}
	else
	{
		/* so, the form has been posted, we'll process the data in three steps:
			1.	Check the data
			2.	Let the user refill the wrong fields (if necessary)
			3.	Varify if the data is correct and return the correct response
		*/
		$errors = array(); /* declare the array for later use */
		
		if(!isset($_POST['user_name']))
		{
			$errors[] = 'The username field must not be empty.';
		}
		
		if(!isset($_POST['user_pass']))
		{
			$errors[] = 'The password field must not be empty.';
		}
		
		if(!empty($errors)) /*check for an empty array, if there are errors, they're in this array (note the ! operator)*/
		{
			echo 'Uh-oh.. a couple of fields are not filled in correctly..';
			echo '<ul>';
			foreach($errors as $key => $value) /* walk through the array so all the errors get displayed */
			{
				echo '<li>' . $value . '</li>'; /* this generates a nice error list */
			}
			echo '</ul>';
		}
		else
		{
			//the form has been posted without errors, so save it
			//notice the use of mysql_real_escape_string, keep everything safe!
			//also notice the sha1 function which hashes the password
			$sql = "SELECT 
						user_id,
						user_name,
						user_level
					FROM
						users
					WHERE
						user_name = '" . mysql_real_escape_string($_POST['user_name']) . "'
					AND
						user_pass = '" . sha1($_POST['user_pass']) . "'";
						
			$result = mysql_query($sql);
			if(!$result)
			{
				//something went wrong, display the error
				echo 'Something went wrong while signing in. Please try again later.';
				//echo mysql_error(); //debugging purposes, uncomment when needed
			}
			else
			{
				//the query was successfully executed, there are 2 possibilities
				//1. the query returned data, the user can be signed in
				//2. the query returned an empty result set, the credentials were wrong
				if(mysql_num_rows($result) == 0)
				{
					echo 'You have supplied a wrong user/password combination. Please try again.';
				}
				else
				{
					//set the $_SESSION['signed_in'] variable to TRUE
					$_SESSION['signed_in'] = true;
					
					//we also put the user_id and user_name values in the $_SESSION, so we can use it at various pages
					while($row = mysql_fetch_assoc($result))
					{
						$_SESSION['user_id'] 	= $row['user_id'];
						$_SESSION['user_name'] 	= $row['user_name'];
						$_SESSION['user_level'] = $row['user_level'];
					}
					
					echo 'Welcome, ' . $_SESSION['user_name'] . '. <a href="index.php">Proceed to the forum overview</a>.';
				}
			}
		}
	}
}

include 'footer.php';
?>

Esta es la consulta que está en el archivo signin.php:

SELECT 
	user_id,
	user_name,
	user_level
FROM
	users
WHERE
	user_name = '" . mysql_real_escape_string($_POST['user_name']) . "'
AND
	user_pass = '" . sha1($_POST['user_pass'])

Es obvio que necesitamos una verificación para saber si las credenciales suministradas pertenecen a un usuario existente. Muchos scripts recuperan la contraseña de la base de datos y la comparan usando PHP. Si hacemos esto directamente a través de SQL, la contraseña será almacenada en la base de datos una vez durante el registro y nunca más la abandonará. Esto es más seguro, porque toda la acción real ocurre en la capa de la base de datos y no en nuestra aplicación.

Si el usuario inició sesión con éxito, estamos haciendo algunas cosas:

<?php
//set the $_SESSION['signed_in'] variable to TRUE
$_SESSION['signed_in'] = true;					
//we also put the user_id and user_name values in the $_SESSION, so we can use it at various pages
while($row = mysql_fetch_assoc($result))
{
 	$_SESSION['user_id'] = $row['user_id'];
 	$_SESSION['user_name'] = $row['user_name'];	
}
?>

Primero, establecemos la variable 'signed_in' $_SESSION a true, para que podamos usarla en otras páginas para asegurarnos de que el usuario haya iniciado sesión. También colocamos el nombre de usuario y el ID de usuario en la variable $_SESSION para usar en otra página. Finalmente, mostramos un enlace a la descripción general del foro para que el usuario pueda comenzar de inmediato.

Por supuesto, iniciar sesión requiere otra función, ¡cerrar sesión! El proceso de cierre de sesión es en realidad mucho más fácil que el proceso de inicio de sesión. Debido a que toda la información sobre el usuario se almacena en las variables $_SESSION, todo lo que tenemos que hacer es deshacerlas y mostrar un mensaje.

Ahora que hemos establecido las variables $_SESSION, podemos determinar si alguien ha iniciado sesión. Hagamos un último cambio simple en header.php:

Reemplazar:

1	<div id="userbar">Hello Example. Not you? Log out.</div>

Con:

<?php
<div id="userbar">
 	if($_SESSION['signed_in'])
 	{
 	 	echo 'Hello' . $_SESSION['user_name'] . '. Not you? <a href="signout.php">Sign out</a>';
 	}
 	else
 	{
 		echo '<a href="signin.php">Sign in</a> or <a href="sign up">create an account</a>.';
 	}
</div>

Si un usuario inicia sesión, verá su nombre en la página principal con un enlace a la página de cierre de sesión. ¡Nuestra autenticación está hecha! Por ahora nuestro foro debería verse así:

Paso 7: Creando una Categoría

Queremos crear categorías así que comencemos con hacer un formulario.

<form method="post" action="">
 	Category name: <input type="text" name="cat_name" />
 	Category description: <textarea name="cat_description" /></textarea>
	<input type="submit" value="Add category" />
 </form>

Este paso se parece mucho al Paso 4 (Registrar un usuario), así que no voy a hacer una explicación detallada aquí. Si siguió todos los pasos, debería ser capaz de entender esto de manera bastante rápida.

<?php
//create_cat.php
include 'connect.php';

if($_SERVER['REQUEST_METHOD'] != 'POST')
{
    //the form hasn't been posted yet, display it
    echo '<form method='post' action=''>
 	 	Category name: <input type='text' name='cat_name' />
 		Category description: <textarea name='cat_description' /></textarea>
 		<input type='submit' value='Add category' />
 	 </form>';
}
else
{
    //the form has been posted, so save it
    $sql = ìINSERT INTO categories(cat_name, cat_description)
 	   VALUES('' . mysql_real_escape_string($_POST['cat_name']) . ì',
 		     '' . mysql_real_escape_string($_POST['cat_description']) . ì')';
    $result = mysql_query($sql);
    if(!$result)
    {
        //something went wrong, display the error
        echo 'Error' . mysql_error();
    }
    else
    {
        echo 'New category successfully added.';
    }
}
?>

Como puede ver, hemos iniciado el script con la comprobación $_SERVER, después de verificar si el usuario tiene derechos de administrador, lo cual es necesario para crear una categoría. El formulario se muestra si no se ha enviado ya. Si ha sido enviado, los valores se guardan. Una vez más, se prepara una consulta SQL y luego se ejecuta.

Paso 8: Agregar Categorías a index.php

Hemos creado algunas categorías, por lo que ahora podemos mostrarlas en la página principal. Agreguemos la siguiente consulta al área de contenido de index.php.

SELECT
 	categories.cat_id,
	categories.cat_name,
 	categories.cat_description,
FROM
 	categories

Esta consulta selecciona todas las categorías y sus nombres y descripciones de la tabla de categorías. Solo necesitamos un poco de PHP para mostrar los resultados. Si agregamos esa parte al igual que hicimos en los pasos anteriores, el código se verá así.

<?php
//create_cat.php
include 'connect.php';
include 'header.php';

$sql = "SELECT
			cat_id,
			cat_name,
			cat_description,
		FROM
			categories";

$result = mysql_query($sql);

if(!$result)
{
	echo 'The categories could not be displayed, please try again later.';
}
else
{
	if(mysql_num_rows($result) == 0)
	{
		echo 'No categories defined yet.';
	}
	else
	{
		//prepare the table
		echo '<table border="1">
			  <tr>
				<th>Category</th>
				<th>Last topic</th>
			  </tr>';	
			
		while($row = mysql_fetch_assoc($result))
		{				
			echo '<tr>';
				echo '<td class="leftpart">';
					echo '<h3><a href="category.php?id">' . $row['cat_name'] . '</a></h3>' . $row['cat_description'];
				echo '</td>';
				echo '<td class="rightpart">';
							echo '<a href="topic.php?id=">Topic subject</a> at 10-10';
				echo '</td>';
			echo '</tr>';
		}
	}
}

include 'footer.php';
?>

Observe cómo estamos usando cat_id para crear enlaces a category.php. Todos los enlaces a esta página se verán así: category.php?cat_id=x, donde x puede ser cualquier valor numérico. Esto puede ser nuevo para usted. Podemos verificar la URL con PHP por valores $ _GET. Por ejemplo, tenemos este enlace:

1	category.php?cat_id=23

La instrucción echo $ _GET[ëcat_id '];' mostrará '23'. En los próximos pasos, utilizaremos este valor para recuperar los temas cuando visualicemos una sola categoría, pero los temas no se pueden ver si aún no los hemos creado. ¡Así que vamos a crear algunos temas!

Paso 9: Creando un Tema

En este paso, combinaremos las técnicas que aprendimos en los pasos anteriores. Estamos comprobando si un usuario ha iniciado sesión, usaremos una consulta de entrada para crear el tema y crear algunos formularios HTML básicos.

La estructura de create_topic.php difícilmente se puede explicar en una lista o algo así, así que la reescribí en pseudo-código.

<?php
if(user is signed in)
{
	//the user is not signed in
}
else
{
	//the user is signed in
	if(form has not been posted)
	{	
		//show form
	}
	else
	{
		//process form
	}
}
?>

Aquí está el código real de esta parte de nuestro foro, revise las explicaciones debajo del código para ver lo que está haciendo.

<?php
//create_cat.php
include 'connect.php';
include 'header.php';

echo '<h2>Create a topic</h2>';
if($_SESSION['signed_in'] == false)
{
	//the user is not signed in
	echo 'Sorry, you have to be <a href="/forum/signin.php">signed in</a> to create a topic.';
}
else
{
	//the user is signed in
	if($_SERVER['REQUEST_METHOD'] != 'POST')
	{	
		//the form hasn't been posted yet, display it
		//retrieve the categories from the database for use in the dropdown
		$sql = "SELECT
					cat_id,
					cat_name,
					cat_description
				FROM
					categories";
		
		$result = mysql_query($sql);
		
		if(!$result)
		{
			//the query failed, uh-oh :-(
			echo 'Error while selecting from database. Please try again later.';
		}
		else
		{
			if(mysql_num_rows($result) == 0)
			{
				//there are no categories, so a topic can't be posted
				if($_SESSION['user_level'] == 1)
				{
					echo 'You have not created categories yet.';
				}
				else
				{
					echo 'Before you can post a topic, you must wait for an admin to create some categories.';
				}
			}
			else
			{
		
				echo '<form method="post" action="">
					Subject: <input type="text" name="topic_subject" />
					Category:'; 
				
				echo '<select name="topic_cat">';
					while($row = mysql_fetch_assoc($result))
					{
						echo '<option value="' . $row['cat_id'] . '">' . $row['cat_name'] . '</option>';
					}
				echo '</select>';	
					
				echo 'Message: <textarea name="post_content" /></textarea>
					<input type="submit" value="Create topic" />
				 </form>';
			}
		}
	}
	else
	{
		//start the transaction
		$query  = "BEGIN WORK;";
		$result = mysql_query($query);
		
		if(!$result)
		{
			//Damn! the query failed, quit
			echo 'An error occured while creating your topic. Please try again later.';
		}
		else
		{
	
			//the form has been posted, so save it
			//insert the topic into the topics table first, then we'll save the post into the posts table
			$sql = "INSERT INTO 
						topics(topic_subject,
							   topic_date,
							   topic_cat,
							   topic_by)
				   VALUES('" . mysql_real_escape_string($_POST['topic_subject']) . "',
							   NOW(),
							   " . mysql_real_escape_string($_POST['topic_cat']) . ",
							   " . $_SESSION['user_id'] . "
							   )";
					 
			$result = mysql_query($sql);
			if(!$result)
			{
				//something went wrong, display the error
				echo 'An error occured while inserting your data. Please try again later.' . mysql_error();
				$sql = "ROLLBACK;";
				$result = mysql_query($sql);
			}
			else
			{
				//the first query worked, now start the second, posts query
				//retrieve the id of the freshly created topic for usage in the posts query
				$topicid = mysql_insert_id();
				
				$sql = "INSERT INTO
							posts(post_content,
								  post_date,
								  post_topic,
								  post_by)
						VALUES
							('" . mysql_real_escape_string($_POST['post_content']) . "',
								  NOW(),
								  " . $topicid . ",
								  " . $_SESSION['user_id'] . "
							)";
				$result = mysql_query($sql);
				
				if(!$result)
				{
					//something went wrong, display the error
					echo 'An error occured while inserting your post. Please try again later.' . mysql_error();
					$sql = "ROLLBACK;";
					$result = mysql_query($sql);
				}
				else
				{
					$sql = "COMMIT;";
					$result = mysql_query($sql);
					
					//after a lot of work, the query succeeded!
					echo 'You have successfully created <a href="topic.php?id='. $topicid . '">your new topic</a>.';
				}
			}
		}
	}
}

include 'footer.php';
?>

Discutiré esta página en dos partes, mostrando el formulario y procesando el formulario.

Mostrando el formulario
Estamos comenzando con un formulario HTML simple. En realidad, hay algo especial aquí, porque usamos un menú desplegable. Este menú desplegable se llena con datos de la base de datos, usando esta consulta:

SELECT
 	cat_id,
 	cat_name,
 	cat_description
FROM
 	categories

Esa es la única parte potencialmente confusa aquí; es un buen código, como puede ver al mirar el archivo create_topic.php en la parte inferior de este paso.

Procesando el formulario

El proceso para guardar el tema consta de dos partes: guardar el tema en la tabla de temas y guardar la primera publicación en la tabla de publicaciones. Esto requiere algo bastante avanzado que va un poco más allá del alcance de este tutorial. Se llama transacción, lo que básicamente significa que comenzamos ejecutando el comando de inicio y luego retrocedemos cuando hay errores en la base de datos y ejecutamos cuando todo salió bien. Más sobre transacciones.

<?php
//start the transaction
$query  = "BEGIN WORK;";
$result = mysql_query($query);
//stop the transaction
$sql = "ROLLBACK;";
$result = mysql_query($sql);
//commit the transaction
$sql = "COMMIT;";
$result = mysql_query($sql);
?>

La primera consulta que se utiliza para guardar los datos es la consulta de creación de tema, que se ve así:

INSERT INTO 
	topics(topic_subject,
               topic_date,
               topic_cat,
               topic_by)
VALUES('" . mysql_real_escape_string($_POST['topic_subject']) . "',
       NOW(),
       " . mysql_real_escape_string($_POST['topic_cat']) . ",
       " . $_SESSION['user_id'] . ")

Al principio se definen los campos, luego los valores que se insertarán. Ya vimos el primero, es solo una cadena de texto que se hace segura usando mysql_real_escape_string(). El segundo valor, NOW(), es una función de SQL para la hora actual. El tercer valor, sin embargo, es un valor que no hemos visto antes. Se refiere a una identificación (válida) de una categoría. El último valor se refiere a un user_id (existente) que es, en este caso, el valor de $_SESSION [ëuser_id ']. Esta variable se declaró durante el proceso de inicio de sesión.

Si la consulta se ejecuta sin errores procedemos a la segunda consulta. Recuerde que todavía estamos haciendo una transacción aquí. Si hubiéramos recibido errores, habríamos usado el comando ROLLBACK.

INSERT INTO
        posts(post_content,
        post_date,
        post_topic,
        post_by)
VALUES
        ('" . mysql_real_escape_string($_POST['post_content']) . "',
         NOW(),
         " . $topicid . ",
         " . $_SESSION['user_id'] . ")

Lo primero que hacemos en este código es usar mysql_insert_id() para recuperar la última ID generada del campo topic_id en la tabla de temas. Como puede recordar en los primeros pasos de este tutorial, el ID se genera en la base de datos usando auto_increment.

Luego, la publicación se inserta en la tabla de publicaciones. Esta consulta se parece mucho a la consulta de temas. La única diferencia es que esta publicación se refiere al tema y al tema referido a una categoría. Desde el principio, decidimos crear un buen modelo de datos y aquí está el resultado: una buena estructura jerárquica.

Paso 10: Vista de Categoría

Vamos a hacer una página de resumen para una sola categoría. Acabamos de crear una categoría, sería útil poder ver todos los temas en ella. Primero, cree una página llamada category.php.

Una breve lista de las cosas que necesitamos:

Necesario para mostrar la categoría

cat_name
cat_description

Necesario para mostrar todos los temas

topic_id
topic_subject
topic_date
topic_cat

Vamos a crear las dos consultas SQL que recuperan exactamente estos datos de la base de datos.

SELECT
    cat_id,
    cat_name,
    cat_description
FROM
    categories
WHERE
    cat_id = " . mysql_real_escape_string($_GET['id'])

La consulta anterior selecciona todas las categorías de la base de datos.

SELECT	
    topic_id,
    topic_subject,
    topic_date,
    topic_cat
FROM
    topics
WHERE
    topic_cat = " . mysql_real_escape_string($_GET['id'])

La consulta anterior se ejecuta en el bucle while en el que hacemos echo a las categorías. Al hacerlo de esta manera, veremos todas las categorías y el último tema para cada uno de ellas.
El código completo de category.php será el siguiente:

<?php
//create_cat.php
include 'connect.php';
include 'header.php';

//first select the category based on $_GET['cat_id']
$sql = "SELECT
			cat_id,
			cat_name,
			cat_description
		FROM
			categories
		WHERE
			cat_id = " . mysql_real_escape_string($_GET['id']);

$result = mysql_query($sql);

if(!$result)
{
	echo 'The category could not be displayed, please try again later.' . mysql_error();
}
else
{
	if(mysql_num_rows($result) == 0)
	{
		echo 'This category does not exist.';
	}
	else
	{
		//display category data
		while($row = mysql_fetch_assoc($result))
		{
			echo '<h2>Topics in ′' . $row['cat_name'] . '′ category</h2>';
		}
	
		//do a query for the topics
		$sql = "SELECT	
					topic_id,
					topic_subject,
					topic_date,
					topic_cat
				FROM
					topics
				WHERE
					topic_cat = " . mysql_real_escape_string($_GET['id']);
		
		$result = mysql_query($sql);
		
		if(!$result)
		{
			echo 'The topics could not be displayed, please try again later.';
		}
		else
		{
			if(mysql_num_rows($result) == 0)
			{
				echo 'There are no topics in this category yet.';
			}
			else
			{
				//prepare the table
				echo '<table border="1">
					  <tr>
						<th>Topic</th>
						<th>Created at</th>
					  </tr>';	
					
				while($row = mysql_fetch_assoc($result))
				{				
					echo '<tr>';
						echo '<td class="leftpart">';
							echo '<h3><a href="topic.php?id=' . $row['topic_id'] . '">' . $row['topic_subject'] . '</a><h3>';
						echo '</td>';
						echo '<td class="rightpart">';
							echo date('d-m-Y', strtotime($row['topic_date']));
						echo '</td>';
					echo '</tr>';
				}
			}
		}
	}
}

include 'footer.php';
?>

Y aquí está el resultado final de nuestra página de categorías:

Paso 11: Vista de Temas

Las consultas SQL en este paso son complicadas. La parte PHP es todo lo que ya ha visto antes. Echemos un vistazo a las consultas. La primera recupera información básica sobre el tema:

SELECT
    topic_id,
    topic_subject
FROM
    topics
WHERE
    topics.topic_id = " . mysql_real_escape_string($_GET['id'])

Esta información se muestra en el encabezado de la tabla que usaremos para mostrar todos los datos. A continuación, recuperamos todas las publicaciones de este tema de la base de datos. La siguiente consulta nos proporciona exactamente lo que necesitamos:

SELECT
    posts.post_topic,
    posts.post_content,
    posts.post_date,
    posts.post_by,
    users.user_id,
    users.user_name
FROM
    posts
LEFT JOIN
    users
ON
    posts.post_by = users.user_id
WHERE
    posts.post_topic = " . mysql_real_escape_string($_GET['id'])

Esta vez, queremos información de los usuarios y de la tabla de publicaciones, así que usamos LEFT JOIN de nuevo. La condición es: la identificación del usuario debe ser la misma que el campo post_by. De esta forma, podemos mostrar el nombre de usuario del usuario que respondió en cada publicación.

La vista final del tema se ve así:

Paso 12: Agregar una Respuesta

Vamos a crear la última parte que falta de este foro, la posibilidad de agregar una respuesta. Comenzaremos por crear un formulario:

1	<form method="post" action="reply.php?id=5">
2	<textarea name="reply-content"></textarea>
3	<input type="submit" value="Submit reply" />
4	</form>

El código de reply.php completo se ve así.

<?php
//create_cat.php
include 'connect.php';
include 'header.php';

if($_SERVER['REQUEST_METHOD'] != 'POST')
{
	//someone is calling the file directly, which we don't want
	echo 'This file cannot be called directly.';
}
else
{
	//check for sign in status
	if(!$_SESSION['signed_in'])
	{
		echo 'You must be signed in to post a reply.';
	}
	else
	{
		//a real user posted a real reply
		$sql = "INSERT INTO 
					posts(post_content,
						  post_date,
						  post_topic,
						  post_by) 
				VALUES ('" . $_POST['reply-content'] . "',
						NOW(),
						" . mysql_real_escape_string($_GET['id']) . ",
						" . $_SESSION['user_id'] . ")";
						
		$result = mysql_query($sql);
						
		if(!$result)
		{
			echo 'Your reply has not been saved, please try again later.';
		}
		else
		{
			echo 'Your reply has been saved, check out <a href="topic.php?id=' . htmlentities($_GET['id']) . '">the topic</a>.';
		}
	}
}

include 'footer.php';
?>

Los comentarios en el código detallan bastante lo que está sucediendo. Estamos buscando un usuario real y luego insertando la publicación en la base de datos.

Terminando

Ahora que ha terminado este tutorial, debe tener una comprensión mucho mejor de lo que se necesita para construir un foro. ¡Espero que mis explicaciones sean lo suficientemente claras! Gracias de nuevo por leer.