iDESWEB: Introducción al desarrollo web

Resumen

Aprender a administrar una base de datos con MySQL. Conocer algunas herramientas que ayudan a administrar una base de datos de MySQL. Aprender a acceder a una base de datos desde PHP. Aprender a realizar una consulta SELECT y mostrar el resultado en una página web.

Contenido

1. Objetivos
2. ¿Qué tengo que hacer?
3. ¿Cómo lo hago?
4. Recomendaciones
5. Recursos

---

Objetivos

• Aprender a administrar una base de datos con MySQL.
• Conocer algunas herramientas que ayudan a administrar una base de datos de MySQL.
• Aprender a acceder a una base de datos desde PHP.
• Aprender a realizar una consulta SELECT y mostrar el resultado en una página web.

---

¿Qué tengo que hacer?

MySQL es el sistema gestor de bases de datos de código abierto más popular en la actualidad. MySQL está disponible para distintos sistemas operativos, como Linux, Mac OS X, Solaris, Windows y otros más. MySQL es muy popular en el desarrollo de aplicaciones web, ya que forma parte como sistema gestor de bases de datos de las plataformas LAMP, BAMP, MAMP y WAMP.

En esta práctica tienes que crear una base de datos en MySQL para almacenar los datos que emplea el sitio web. La base de datos se tiene que llamar "pibd" y tiene que tener las siguientes tablas (se indica el tipo de dato más apropiado para cada columna, pero se puede cambiar según la necesidad de cada uno):

Tabla Usuarios

• IdUsuario : entero, autoincremento y clave primaria.
• NomUsuario : texto (longitud máxima 15 caracteres) y valor único.
• Clave : texto (longitud máxima 15 caracteres).
• Email : texto.
• Sexo : entero pequeño.
• FNacimiento : fecha.
• Ciudad : texto; no se relaciona con una tabla porque los nombres de todas las ciudades del mundo es imposible de conocer.
• Pais : entero y clave ajena a Paises.
• Foto : texto; contiene el nombre y quizás la ruta del fichero que almacena la foto, el uso de este campo depende de la implementación que realice el alumno.
• FRegistro : marca de tiempo (fecha y hora); fecha de registro en el sistema del usuario.

Tabla Paises

• IdPais : entero, autoincremento y clave primaria.
• NomPais : texto.

Tabla Albumes

• IdAlbum : entero, autoincremento y clave primaria.
• Titulo : texto.
• Descripcion : texto.
• Fecha : fecha; fecha en el que fueron tomadas las fotografías del álbum, si es un período de tiempo se puede poner la fecha del primer día o dejar en blanco.
• Pais : entero y clave ajena a Paises; país en el que se tomaron las fotos, si son varios se puede dejar en blanco.
• Usuario : entero y clave ajena a Usuarios.

Tabla Fotos

• IdFoto : entero, autoincremento y clave primaria.
• Titulo : texto.
• Fecha : fecha; fecha en la que fue tomada la foto, se puede dejar en blanco.
• Pais : entero y clave ajena a Paises; país en el que se tomo la foto, se puede dejar en blanco.
• Album : entero y clave ajena a Albumes.
• Fichero : texto; contiene el nombre y quizás la ruta del fichero que almacena la foto, el uso de este campo depende de la implementación que realice el alumno.
• FRegistro : marca de tiempo (fecha y hora); fecha de registro en el sistema de la foto, se emplea para mostrar las últimas cinco fotos introducidas.

Nota: este diseño de la base de datos se verá modificado en prácticas posteriores cuando se incorporen algunas funcionalidades adicionales.

El mantenimiento de la tabla Paises se realiza directamente a través de la base de datos: los datos se introducen directamente en la tabla. Respecto a las otras tablas, el mantenimiento se realizará en una próxima práctica, pero por ahora introduce los datos directamente en las tablas para poder hacer pruebas.

Además, tienes que modificar las siguientes páginas (Figura 1) para que realicen la consulta SELECT correspondiente y visualicen el resultado obtenido (sustituye los datos estáticos que tengas en las páginas web por los datos devueltos por la base de datos):

Página principal

Contiene un listado con un resumen (foto, título, fecha, país) de las últimas cinco fotos que se han introducido.

Página con el formulario de registro como nuevo usuario

En la lista desplegable para seleccionar el país, mostrar los países a partir de la tabla Paises de la base de datos.

Página con el formulario de búsqueda

En la lista desplegable para seleccionar el país, mostrar los países a partir de la tabla Paises de la base de datos.

Página con el listado resultado de una búsqueda

A partir de los datos recibidos desde la [Página con el formulario de búsqueda] (título, fecha y/o país) debe realizar una búsqueda en la tabla Fotos y mostrar el resultado obtenido.

Página detalle foto

Muestra toda la información sobre una foto seleccionada en la página anterior (foto, título, fecha, país, álbum de fotos y usuario al que pertenece).

Página control de acceso

Controla el acceso a la parte privada para los usuarios registrados (los que figuran en la tabla Usuarios). Si el usuario está registrado, mediante una redirección en la parte del servidor se debe mostrar la página con el menú de usuario registrado; si el usuario no está registrado, mediante una redirección en la parte del servidor se debe mostrar la página principal del sitio web.

Página "Crear álbum"

En la lista desplegable para seleccionar el país, mostrar los países a partir de la tabla Paises de la base de datos.

Página "Mis álbumes"

Muestra un listado con todos los álbumes del usuario.

Página "Ver álbum"

Desde la [Página "Mis álbumes"], muestra todas las fotos que contiene un álbum.

Página "Añadir foto a álbum"

Contiene un formulario con los datos necesarios para añadir una foto (título, fecha, país, foto y álbum al que se añade la foto).

---

¿Cómo lo hago?

Creación de la base de datos desde la línea de comandos

Para crear la base de datos en MySQL tienes diferentes alternativas. Por un lado, puedes acceder a MySQL a través de MySQL monitor que se encuentra en el directorio \xampp\mysql\bin. En la Figura 2 podemos ver una sesión de ejecución con los siguientes comandos:

• mysql -u root: inicia la conexión a la base de datos con el usuario root.
• show databases;: muestra las bases de datos que existen.
• use library;: selecciona una base de datos.
• show tables;: muestra las tablas que existen en la base de datos.
• describe books;: muestra el esquema de la tabla.

Para crear la base de datos debemos emplear el lenguaje de definición de datos (Data Definition Language, DDL) de SQL que permite definir las estructuras de la base de datos que almacenarán los datos. En concreto, los comandos SQL más importantes que se utilizan para crear y mantener una base de datos son:

• CREATE DATABASE: crea una base de datos con el nombre dado.
• DROP DATABASE: borra todas las tablas en la base de datos y borra la base de datos.
• CREATE TABLE: crea una tabla con el nombre dado.
• ALTER TABLE: permite cambiar la estructura de una tabla existente.
• DROP TABLE: borra una o más tablas.

Además, MySQL es un sistema gestor de bases de datos que funciona con usuarios y permisos. Cuando se realiza una conexión a una base de datos desde una página web se debe emplear un usuario especial para reducir los riesgos de seguridad y evitar que un usuario malintencionado pueda modificar o incluso eliminar toda una base de datos. El usuario para conectarse desde una página web debe tener otorgados únicamente los permisos para manipular los datos (SELECT, INSERT, UPDATE y DELETE) y NO los permisos para cambiar la estructura (CREATE, ALTER, etc.) o administrar (GRANT, SHUTDOWN, etc.) la base de datos.

En MySQL se puede crear una cuenta de usuario de tres formas:

• Usando el comando GRANT.
• Manipulando las tablas de permisos de MySQL directamente.
• Usar uno de los diversos programas proporcionados por terceras partes que ofrecen capacidades para administradores de MySQL, como phpMyAdmin.

Desde la línea de comandos el método preferido es usar el comando GRANT, ya que es más conciso y menos propenso a errores que manipular directamente las tablas de permisos de MySQL.

Por ejemplo, las siguientes instrucciones crean un nuevo usuario llamado wwwdata con contraseña abc, que sólo se puede usar cuando se conecte desde el equipo local (localhost) y le otorga únicamente los permisos SELECT, INSERT, UPDATE y DELETE sobre todas las bases de datos alojadas en el servidor:

# Crea un nuevo usuario 
CREATE USER 'wwwdata'@'localhost' IDENTIFIED BY 'abc'; 
# Otorga los permisos para poder manipular los datos 
# sobre todas las bases de datos (*.*) 
GRANT SELECT, INSERT, UPDATE, DELETE ON *.* TO 'wwwdata'@'localhost' 
IDENTIFIED BY 'abc' WITH MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 
MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0 ; 
# Recarga los permisos de las tablas (en principio, no es necesario porque 
# GRANT debe hacerlo de forma automática) 
FLUSH PRIVILEGES; 

Una ver creado un usuario, podemos consultar sus permisos con el comando SHOW GRANTS, tal como podemos ver en la Figura 3.

Desde la línea de comandos también se pueden ejecutar otros programas, como mysqladmin, mysqlcheck, mysqldump o mysqlshow.

Creación de la base de datos desde phpMyAdmin

phpMyAdmin es una herramienta escrita en PHP que permite la administración de una base de datos de MySQL a través de páginas web, ya sea en local o de forma remota a través de Internet. Es un desarrollo de código abierto y está disponible bajo la licencia GPL.

En la Figura 4 podemos ver la pantalla principal de la aplicación. En el panel de la izquierda aparecen las bases de datos que existen y entre paréntesis se indica el número de tablas que posee cada base de datos. En la parte principal de la pantalla se indica la versión del servidor de MySQL y el usuario que se está empleando para conectarse. En XAMPP, por defecto se emplea el usuario "root" sin contraseña, lo que supone una vulnerabilidad del sistema ya que facilita un posible ataque. Para evitarlo, es conveniente asignar una contraseña al usuario "root" en MySQL y configurar la contraseña para phpMyAdmin en el fichero config.inc.php.

Además, en la página principal existen varias funciones, como crear una nueva base de datos, modificar los privilegios o importar y exportar el esquema y los datos de una base de datos.

Desde la pantalla principal se puede crear una nueva base de datos. Una vez creada, aparece la pantalla que podemos ver en la Figura 5; en esta pantalla se visualiza la sentencia SQL que ha creado la base de datos y se puede indicar el nombre para una nueva tabla en la base de datos recién creada. En este último caso, también hay que indicar el número de campos (columnas) que se quiere que tenga la tabla; más adelante se pueden añadir más campos en cualquier momento.

En la Figura 6 podemos ver la pantalla de creación de una nueva tabla con dos campos. En esta pantalla se tiene que indicar la definición de cada campo (columna) de la tabla, como el nombre del campo, el tipo de dato, si admite valor nulo, si es clave primaria, etc. Esta pantalla cambia de aspecto según el número de campos que tenga la tabla; por ejemplo, en la Figura 7 podemos ver la misma pantalla pero cuando una tabla posee siete campos, en vez de una disposición vertical la definición de los campos adquiere una disposición horizontal.

Además, se tiene que seleccionar el motor de almacenamiento para la tabla. MySQL permite seleccionar diferentes motores de almacenamiento. La principal diferencia entre los distintos motores reside en el soporte de las transacciones, el manejo de las claves ajenas y el particionamiento de las tablas.

En la Figura 8 podemos ver la pantalla de respuesta que aparece al crear una nueva tabla. En esta pantalla figura la sentencia SQL de creación de la tabla y también se puede modificar la estructura de la tabla recién creada.

Una vez creada una tabla se pueden insertar datos en la misma. Para ello se emplea la opción Insertar que muestra un formulario como el de la Figura 9. En este formulario aparecen todos los campos que componen una tabla y para cada campo se indica su tipo de dato. Cuando un campo es de tipo autoincremento la base de datos le asignará un valor de forma automática, pero de todas formas aparecerá en el formulario de inserción, por lo que se debe dejar vacío.

Por último, y tal como se ha explicado en el apartado anterior, se debe emplear un usuario específico para conectarse desde una página web, que tenga otorgados únicamente los permisos para manipular los datos (SELECT, INSERT, UPDATE y DELETE). En la Figura 10 podemos ver la pantalla de la opción Privilegios, donde se muestran todos los usuarios que existen y los permisos que poseen. Desde esta pantalla se puede acceder a la función agregar un nuevo usuario que vemos en la Figura 11.

Acceso a la base de datos desde PHP

Desde PHP se puede acceder fácilmente a una base de datos en MySQL empleando las más de 50 funciones que existen. Las principales funciones que se emplean para acceder a una base de datos son:

• mysql_connect(servidorBD, usuario, contraseña): abre una conexión con un servidor de bases de datos de MySQL, devuelve un identificador que se emplea en algunas de las siguientes funciones o FALSE en caso de error.
• mysql_close(identificador): cierra una conexión con un servidor de MySQL, devuelve TRUE en caso de éxito y FALSE en caso contrario.
• mysql_ping(identificador): verifica que la conexión con el servidor de bases de datos funciona, devuelve TRUE en caso de éxito y FALSE en caso contrario.
• mysql_select_db(nombreBD, identificador): selecciona una base de datos, devuelve TRUE en caso de éxito y FALSE en caso contrario.
• mysql_query(sentencia, identificador): ejecuta una sentencia SQL y devuelve un resultado (SELECT, SHOW, EXPLAIN o DESCRIBE, ...) o TRUE (INSERT, UPDATE, DELETE, ...) si todo es correcto, o FALSE en caso contrario.
• mysql_fecth_array(resultado): recorre un resultado, devuelve un array que representa una fila (registro) o FALSE en caso de error (por ejemplo, llegar al final del resultado); al array se puede acceder de forma numérica (posición de la columna) o asociativa (nombre de la columna).
• mysql_fetch_assoc(resultado) y mysql_fetch_row(resultado): ambas funciones son similares a la anterior mysql_fecth_array(resultado), pero sólo permiten el acceso como array asociativo o con índices numéricos respectivamente.
• mysql_affected_rows(identificador): devuelve el número de filas (tuplas) afectadas por la última operación si fue del tipo INSERT, UPDATE, etc., que no devuelven un resultado.
• mysql_num_rows(resultado): devuelve el número de filas (tuplas) afectadas por la última operación si fue del tipo SELECT.
• mysql_free_result(resultado): libera la memoria ocupada por un resultado; en principio, se libera automáticamente al finalizar la página, es necesario si en una misma página se realizan varias consultas con resultados muy grandes.

El siguiente ejemplo muestra como visualizar todo el contenido de una tabla en una página web. En concreto, se conecta al servidor local con el usuario wwwdata sin contraseña, selecciona la base de datos biblioteca, recupera todo el contenido de la tabla libros y muestra los campos Titulo y Resumen:

<?xml version="1.0" encoding="iso-8859-1"?> 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" 
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> 
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="es" lang="es"> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" /> 
<title>Prueba de SELECT y MySQL</title> 
</head> 
<body> 
<?php 
  // Se conecta al SGBD 
  if(!($iden = mysql_connect("localhost", "wwwdata", ""))) 
    die("Error: No se pudo conectar");
	
  // Selecciona la base de datos 
  if(!mysql_select_db("biblioteca", $iden)) 
    die("Error: No existe la base de datos");
	
  // Sentencia SQL: muestra todo el contenido de la tabla "books" 
  $sentencia = "SELECT * FROM libros"; 
  // Ejecuta la sentencia SQL 
  $resultado = mysql_query($sentencia, $iden); 
  if(!$resultado) 
    die("Error: no se pudo realizar la consulta");
	
  echo '<table>'; 
  while($fila = mysql_fetch_assoc($resultado)) 
  { 
    echo '<tr>'; 
    echo '<td>' . $fila['Titulo'] . '</td><td>' . $fila['Resumen'] . '</td>'; 
    echo '</tr>'; 
  } 
  echo '</table>';
  
  // Libera la memoria del resultado
  mysql_free_result($resultado);
  
  // Cierra la conexión con la base de datos 
  mysql_close($iden); 
?> 
</body> 
</html> 

El siguiente ejemplo es similar al anterior, pero emplea una función llamada sql_dump_result(resultado) que visualiza todo el contenido del resultado de una consulta SELECT en forma de tabla de HTML, sin tener que indicar uno a uno los campos que componen el resultado; además, la primera fila de la tabla creada contiene los nombres de los campos a modo de encabezados de las columnas de la tabla:

<?xml version="1.0" encoding="iso-8859-1"?> 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" 
"http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd"> 
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="es" lang="es"> 
<head> 
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" /> 
<title>Prueba de SELECT y MySQL</title> 
</head> 
<body> 
<?php 
  // Devuelve todas las filas de una consulta a una tabla de una base de datos 
  // en forma de tabla de HTML 
  function sql_dump_result($result) 
  { 
    $line = ''; 
    $head = '';
	
  while($temp = mysql_fetch_assoc($result)) 
  { 
    if(empty($head)) 
    { 
      $keys = array_keys($temp); 
      $head = '<tr><th>' . implode('</th><th>', $keys). '</th></tr>'; 
    }
	
    $line .= '<tr><td>' . implode('</td><td>', $temp). '</td></tr>'; 
  }
  
  return '<table>' . $head . $line . '</table>'; 
}

  // Se conecta al SGBD 
  if(!($iden = mysql_connect("localhost", "wwwdata", ""))) 
    die("Error: No se pudo conectar");
	
  // Selecciona la base de datos 
  if(!mysql_select_db("biblioteca", $iden))
    die("Error: No existe la base de datos"); 
	
  // Sentencia SQL: muestra todo el contenido de la tabla "books" 
  $sentencia = "SELECT * FROM libros"; 
  // Ejecuta la sentencia SQL 
  $resultado = mysql_query($sentencia, $iden); 
  if(!$resultado) 
    die("Error: no se pudo realizar la consulta");

  // Muestra el contenido de la tabla como una tabla HTML	
  echo sql_dump_result($resultado); 
  
  // Libera la memoria del resultado
  mysql_free_result($resultado);

  // Cierra la conexión con la base de datos 
  mysql_close($iden); 
?> 
</body> 
</html> 

---

Recomendaciones

Recuerda que las páginas que contengan código PHP tienen que tener la extensión .php. Si modificas alguna página web que ya tengas hecha de prácticas anteriores para añadirle código PHP, tendrás que cambiarle la extensión y corregir todos los enlaces que apunten a esa página.

La página web Build Your Own Database Driven Website Using PHP & MySQL explica en cuatro partes (Introduction, The Database Server, PHP server-side scripting language y Displaying Information on a Web page) cómo construir un sitio web con información procedente de una base de datos en MySQL.

Recuerda: nunca te conectes a una base de datos con el usuario "root" desde una página web. Emplea un usuario específico que tenga el mínimo posible de permisos. Por ejemplo, si en una página web sólo necesitas mostrar el contenido de las tablas de una base de datos, pero no necesitas actualizar o insertar nuevos datos, utiliza un usuario que sólo tenga el permiso SELECT sobre esa base de datos. De este modo reducirás los posibles problemas de seguridad.

Fíjate que en varias páginas se pide en la lista desplegable para seleccionar el país, mostrar los países a partir de la tabla paises de la base de datos. Cuando una parte de una página web se repita en varias páginas, lo mejor es aislar el código común en un fichero independiente e incluirlo en aquellos puntos donde haga falta.

Utiliza esta misma técnica para almacenar en un fichero independiente los datos necesarios para establecer la conexión con la base de datos; de este modo, si algo cambia, sólo lo tendrás que cambiar en un fichero.

Aunque no se pide implementarlo en esta práctica, cuando se muestra un listado a partir de una consulta a una base de datos y no existe un límite para el número de resultados devueltos es conveniente mostrar el listado paginado para evitar que se devuelva una página web enorme que aumente su tiempo de transmisión y dificulte su lectura. ¿Te atreves a hacerlo?

El manual de MySQL te lo puedes descargar en diferentes formatos de su sitio web para tenerlo siempre a mano y poder hacer las búsquedas de información rápidamente. Cuando lo descargues, elige la versión correspondiente a tu servidor de MySQL.

Si quieres guardar una copia de seguridad de una base de datos, puedes emplear la opción Exportar de phpMyAdmin que se muestra en la Figura 12.

---

Recursos

¿Qué tipos de datos admite MySQL? ¿Qué funciones existen en MySQL?

• MySQL Developer Zone : sitio web oficial de MySQL con información para desarrolladores.
• MySQL Cheat Sheet : resumen de los tipos de datos y de las diversas funciones (de fecha y hora, matemáticas, etc.) disponibles en MySQL. También incluye una lista de las funciones disponibles en PHP para conectarse a MySQL y ejemplos de la consulta SELECT.
• MySQL Cheat Sheet : resumen de los principales comandos de MySQL.
• MySQL Quick Reference : guía de referencia rápida de lo más importante de MySQL (tipos de datos, funciones para usar en sentencias SELECT y WHERE, lenguaje de definición de datos, lenguaje de manipulación de datos, comandos de usuario y comandos de transacciones y bloqueos).
• MySQL Reference Sheet : resumen de los tipos de datos y funciones de MySQL.

¿Qué es el lenguaje SQL? ¿Qué sintaxis tiene el lenguaje SQL?

• SQL : definición en la Wikipedia del lenguaje SQL.
• W3Schools : cursos de aprendizaje y guías de referencia de diversas tecnologías empleadas en la programación web. Incluye un tutorial y temas avanzados sobre SQL.
• SQLCourse : sencillo tutorial sobre el lenguaje SQL.
• SQL Cheat : resumen de las sentencias principales del lenguaje SQL.

¿Qué herramientas existen para trabajar con MySQL?

• phpMyAdmin : permite crear y gestionar una base de datos en MySQL a través de una página web.
• phpMinAdmin : script escrito en PHP en un solo fichero que permite administrar una base de datos en MySQL, similar a phpMyAdmin, pero no es tan potente ni tan complejo.
• MySQL GUI Tools : incluye las herramientas MySQL Administrator 1.2, MySQL Query Brow-ser 1.2 y MySQL Migration Toolkit 1.1.
• MySQL Workbench : herramienta visual que permite diseñar, gestionar y documentar una base de datos en MySQL.

¿Qué funciones se emplean en PHP para acceder a MySQL?

• PHP MySQL : documentación oficial del uso de MySQL desde PHP.
• PHP MySQL Introduction : tutorial de W3Schools sobre el uso de una base de datos de MySQL desde PHP.

¿Existe algún peligro cuando se accede a una base de datos desde una página web?

• Inyección SQL : definición en la Wikipedia de este tipo de vulnerabilidad informática.
• Inyección de SQL : explica qué es la inyección de SQL y algunas técnicas de protección con PHP.
• SQL Injection Cheat Sheet : resumen de algunos métodos de inyección de SQL para distintos sistemas gestores de bases de datos.