A extensão MySQLi necessita do servidor MySQL 4.1 ou superior.

Vale lembrar que há boatos de que a extensão MySQL deixe de existir no PHP 6. Logo, seja isso verdade ou não, é preferível usar MySQLi.

Vou mostrar aqui a forma de se trabalhar com a extensão MySQLi.

Para realizar a conexão com a base de dados, basta isto:

$MySQLi = new mysqli( 'servidor', 'usuario', 'senha', 'nome_da_db' );

Por exemplo:

$MySQLi = new mysqli( 'localhost', 'root', 'passwd', 'test' );

Se a conexão for bem sucedida, $MySQLi será um objeto, que será usado para consultas posteriores e outras ações com a base de dados.

Para realizar uma consulta, por exemplo, basta usar o método query() e percorrer com fetch_assoc(), muito semelhante ao que se faz usando a extensão mysql:

$exec = $MySQLi->query( 'select dados from tabela' );
 
while ( $f = $exec->fetch_assoc() )
{
    print_r( $f );
}

A lista completa de propriedades e métodos da classe MySQLi pode ser encontrada no link abaixo:

http://php.net/manual/pt_BR/book.mysqli.php

Por exemplo: em vez de executar:

INSERT INTO tabela(numero) VALUES (1);
INSERT INTO tabela(numero) VALUES (2);
...

Poderíamos executar:

INSERT INTO tabela(numero) VALUES (1), (2);

Vou mostrar uma maneira simples de se fazer isso dinamicamente, com quantidade indeterminada informações, que podem vir de qualquer tipo de fonte de dados.

Vamos considerar um array com números inteiros, de 1 a 10:

$valores = range( 1 , 10 );

Para inserir isso num banco de dados, muitos fariam isto:

$valores = range( 1 , 10 );
for ( $i = 0; $i < count( $valores ); $i++ )
{
    $DB->query( 'INSERT INTO tabela(numero) VALUES(' . $valores[ $i ] . ')' );
}

Isso funciona. Mas é lento e sobrecarrega o servidor. Imaginem um array com 100 mil valores.

O correto é gerar a string SQL com todos os valores a serem inseridos, separados por vírgula, de forma a executar a consulta apenas uma vez. Logo, podemos fazer isto:

$valores = range( 1 , 10 );
$sql = sprintf( 'INSERT INTO tabela(numero) VALUES (%s)', implode( '), (' , $valores ) );
$DB->query( $sql );

Se dermos um echo em $sql, teremos como saída:

INSERT INTO tabela(numero) VALUES (1), (2), (3), (4), (5), (6), (7), (8), (9), (10)

Dessa forma só se executa a SQL uma vez, tornando a execução bem mais rápida.

Caso não tenha visto a primeira parte do artigo, leia-a aqui:
Segurança em SIstemas de Login: Senhas e Cookies

Sumário

1. Introdução
2. Magic Quotes
3. Soluções Especificas para cada SGBD
3.1. MySQL
3.2. PostgreSQL
3.3. Exemplos de códigos para MySQL e PostgreSQL
4. Apenas Isso Não Basta
5. Conclusão

1. Introdução

Neste segundo artigo sobre segurança em sistemas de login, abordarei formas de proteção contra SQL Injection.

Existem muitas discussões na Internet, em listas de discussão e fóruns, sobre qual seria a função perfeita para impedir ataque por SQL Injection SQL Injection. Alguns programadores até criam funções que removem, por segurança, palavras-chave da linguagem SQL, como SELECT, DROP, DELETE. Isso pode até resolver, mas não podemos danificar a informação; se permitirmos que o usuário escreva informações em nosso site, devemos permitir-lhe escrever
SELECT, DROP e DELETE também. Imagine, por exemplo, um fórum sobre programação: como poderíamos postar códigos SQL se o fórum removesse as palavras SELECT, DELETE etc? Logo, não podemos remover essas palavras.

A soluçãoo é muito simples! Sim, é simples, mesmo. Muitos querem complicar à toa, porém é muito simples: escapar caracteres especiais.

Esses caracteres especiais podem variar conforme o SGBD que se está utilizando. Normalmente são aspas simples e duplas, as quais delimitam strings em um comando SQL.

Vamos a um exemplo. Considere a SQL abaixo:

$sql = "SELECT id, nome, sobrenome FROM autores WHERE nome = '" . $nome . "'
		AND sobrenome = '" . $sobrenome . "'";

Supondo que $nome contenha jo’sé, e $sobrenome, silva, a SQL ficará assim:

SELECT id, nome, sobrenome FROM autores WHERE nome = 'jo'se' AND sobrenome = 'silva';

Isso gera um erro de sintaxe, sem comprometer o banco de dados. Porém, se mantivermos $sobrenome e definirmos $nome com o valor jo’; DROP TABLE autores ; –, teremos:

SELECT id, nome, sobrenome FROM autores WHERE nome = 'jo'; DROP TABLE autores ;
--'AND sobrenome = 'silva';

Dessa forma, selecionam-se os registros com nome igual a “jo”, remove-se a tabela “autores” e considera-se ‘ AND sobrenome = ‘silva’; como comentário. Isso caracteriza um ataque por SQL Injection.

2. Magic Quotes

Face aos possíveis grandes danos que SQL Injection pode causar, o PHP possui um mecanismo nativo automático para escapar caracteres especiais: o magic quotes. Porém, esse é um mecanismo genérico, que não pode ser aplicado a todos os SGBDs. Logo, não o utilize!

O próprio Manual do PHP não recomenda seu uso:

There is no reason to use magic quotes because they are no longer a supported
part of PHP. However, they did exist and did help a few beginners blissfully
and unknowingly write better (more secure) code. But, when dealing with code
that relies upon this behavior it's better to update the code instead of
turning magic quotes on. So why did this feature exist? Simple, to help prevent
SQL Injection. Today developers are better aware of security and end up using
database specific escaping mechanisms and/or prepared statements instead of
relying upon features like magical quotes.

Fonte: http://br3.php.net/manual/en/security.magicquotes.why.php

Como citado no trecho, é preferível adaptar seus códigos a fim de torná-los seguros e não vulneráveis a SQL Injection a habilitar o magic quotes. Portanto mantenha a diretiva magic_quotes_gpc, do , em off! Dê preferência a funções específicas para cada SGBD.

Leia o capítulo sobre Magic Quotes, do }Manual do PHP, no link abaixo:
http://br3.php.net/manual/en/security.magicquotes.php

3. Soluções Especificas para cada SGBD

3.1. MySQL

Vamos ao exemplo mais comum: MySQL: existe uma função específica do PHP para escapar caracteres especiais do MySQL: mysql_real_escape_string.

Ela deve ser usada com magic_quotes_gpc em off. Caso seu servidor mantenha essa diretiva ativa, desabilite-a por meio de htaccess ou, caso isso não seja possível, certifique-se de usar stripslashes antes de aplicar essa função. Veja o exemplo abaixo:

if ( get_magic_quotes_gpc() )
{
    $name = stripslashes( $name );
}
$name = mysql_real_escape_string( $name );
mysql_query( "SELECT * FROM users WHERE name=$name" );

Esse trecho de código e outras dicas sobre prevenção de SQL Injection com MySQL podem ser vistas no link abaixo, do próprio Manual do MySQL:
http://dev.mysql.com/tech-resources/articles/guide-to-php-security.html

3.2. PostgreSQL

O escape de caracteres no PostgreSQL não é feito com barra invertida; é feito com aspas simples. Ou seja, addslashes não funcionaria aqui.

O PHP também tem uma função específica para escape de caracteres especiais para PostgreSQL: pg_escape_string.

Mais informações sobre prevenção de SQL Injection em PostgreSQL podem ser vistas no link abaixo, do Wiki do PostgreSQL:
http://wiki.postgresql.org/wiki/Sql_injection

3.3. Exemplos de códigos para MySQL e PostgreSQL

mysql_connect( 'localhost', 'usuario', 'senha' );
$str = "There's no place like 127.0.0.1, the \"localhost\"";
echo "String:	" . $str . "<br />";
echo "MySQL:	" . mysql_real_escape_string( $str ) . "<br />";
echo "Postgre:	" . pg_escape_string( $str ) . "<br />";

* Para usar mysql\_real\_escape\_string, é necessário uma conexão MySQL ativa.\\

Saída:

String:	There's no place like 127.0.0.1, the "localhost"
MySQL:	There\'s no place like 127.0.0.1, the \"localhost\"
Postgre:	There''s no place like 127.0.0.1, the "localhost"

4. Apenas Isso Não Basta

Apenas escapar caracteres não é suficiente, uma vez que não existem apenas strings. Também temos dados numéricos, como inteiros, floats e outros tipos de ponto flutuante, que não são envolvidos por aspas em consultas SQL.

Considere a seguinte SQL:

$sql = "SELECT id, nome, sobrenome FROM autores WHERE id=" . $id;

Se $id tiver o valor 0; DROP TABLE autores; –, a SQL final será:

SELECT id, nome, sobrenome FROM autores WHERE id=0; DROP TABLE autores; --;

Isso removeria a tabela “autores”.

A solução é, novamente, muito simples: basta fazer casting, ou coerção, convertendo o parâmetro para um tipo numérico.

No exemplo acima, bastaria isto:

$id = (int) $id;

O mesmo vale para float, double e os demais tipos de dados.

5. Conclusão

SQL Injection é um problema muito grave, que muitos programadores iniciantes deixam passar despercebido, principalmente por falta de conhecimento.

Apesar disso, sua prevenção é muito simples. Basta entender o funcionamento do ataque para saber como se defender dele.

Abraços,

Beraldo

Na verdade, “criptografia” não é a palavra correta aqui. Na verdade usaremos hashes, que é uma forma de codificação unidirecional, ou seja, não há como, a partir de um hash, obter o dado original. Afinal, não temos para que saber a senha do usuário. Criptografia é uma forma de codificação usando chaves, de forma que é possível obter o dado original, desde que tenha-se a chave com a qual o dado foi codificado.

Sumário

Codificando senhas para salvá-las no banco de dados
Usando Salt Number
Salvando a senha em cookie de forma segura
Conclusão

Codificando senhas para salvá-las no banco de dados

Nos exemplos aqui mostrados usarei a linguagem PHP, mas os conceitos podem ser usados com qualquer linguagem de programação.

Por incrível que possa parecer, há muitas pessoas que salvam senhas puras no banco de dados, sem qualquer tipo de criptografia! Isso é um crime! Se alguém tiver acesso ao banco de dados, todos os usuários do sistemas estarão em risco. As senhas devem ser salvas criptografadas ou, como no nosso caso, em hashes.

Normalmente usa-se o MD5, que gera uma saída de 32 caracteres. Porém, toda segurança é pouca. Temos o SHA-1, que gera uma saída de 40 caracteres. A fim de evitar colisões, devemos dar preferência ao SHA-1, uma vez que ele gera mais possibilidades de saídas.

Mas também podemos unir as duas! Uma possibilidade é esta:

function hashPasswd( $passwd )
{
	return sha1( md5( $passwd ) );
}

A função codifica com MD5 e depois codifica o resultado do MD5 com SHA-1. É uma segurança a mais, já que uma dicionário de senhas codificadas em SHA-1 provavelmente não contém hashes MD5 de senhas para serem testados.

Para ficar ainda mais seguro, você pode usar uma “chave” – não exatamente com o significado de uma chave de criptografia. Na verdade é uma string que concatenamos com a senha, a fim de gerar uma senha mais complexa:

define( 'HASH_KEY', md5( 'chave secreta' ) );
 
function hashPasswdWithKey( $passwd )
{
	return sha1( md5( $passwd . HASH_KEY ) );
}

HASH_KEY é uma constante com o hash MD5 de uma string. Prefira usar uma string relativamente complexa, com números e caracteres maiúsculos e minúsculos no lugar de “chave secreta”.

O hash retornado é o valor que deve ser salvo no banco de dados.

Quando o usuário efetuar login, com nome de usuário e senha, basta pegarmos a senha informada, codificá-la com a nossa função e compará-la com o valor salvo no banco de dados.

Usando Salt Number

O uso de Salt Number dificulta a realização de ataques por brute force, uma vez que aumenta exponencialmente as possibilidades de hash para uma mesma palavra.

Os links abaixo explicam detalhadamente como funcionam os salt numbers:
http://www.vivaolinux.com.br/artigo/Armazenamento-de-senhas-no-Linux/?pagina=7
http://gravatai.ulbra.tche.br/~elgio/senhas.html

O Salt Numbeer é semelhante à HASH_KEY, que criamos anteriormente. Porém, em vez de usarmos uma constante, criamos um código aleatório para cada usuário. Esse valor fica salvo no banco de dados e é concatenado à senha do usuário, da mesma forma que fizemos com a constante HASH_KEY.

Uma possível forma de gerar códigos aleatórios para o Salt Number em PHP é esta:

// Número de caracteres do Salt Number
define( 'SALT_SIZE', 15 );
 
// Array com os 62 caracteres (a-z, A-Z, 0-9)
$amostra = array_merge( range( 'a', 'z' ), range( 'A', 'Z' ), range( 0, 9 ) );
 
// Embaralha o array
shuffle( $amostra );
 
$index = array_rand( $amostra, SALT_SIZE );
 
$salt = '';
for ( $i = 0; $i < SALT_SIZE; $i++ )
{
	$salt .= $amostra[ $i ];
}

Assim, $salt contém o salt number gerado, para que seja usado na autenticação de um novo usuário recém-cadastrado.

Salvando a senha em cookie de forma segura

A fim de permitirmos o login automático, muito comum em fóruns e lojas virtuais, precisamos usar cookies. Neles devem estar salvos os dados do usuário para autenticação no sistema.

Porém, não podemos colocar a senha do usuário no cookie. Mesmo que seja o hash da senha, pois fornecer acesso à hash salva no banco de dados é uma falha de segurança, já que ter um hash em mãos torna muito mais fácil um ataque por brute force. Por isso, vamos criar outro hash, baseado no hash da senha e no horário em que o usuário fez o último login.

define( 'HASH_KEY', md5( 'chave secreta' ) );
define( 'HASH_PATTERN', HASH_KEY . '%d' . '%s' );
 
function hashForCookie( $str )
{
	$strHash = sprintf( HASH_PATTERN, time(), $str );
	return sha1( $strHash );
}

Novamente temos a HASH_KEY, utilizada anteriormente. Criamos outra constante, a HASH_PATTERN, que é o padrão que será usado no hash. Aqui uso a chave (HASH_KEY), à qual são concatenados um “%d” e um “%s”, que serão substituídos pelo timestamp corrente e pelo hash da senha, respectivamente, usando sprintf(). A função retorna o SHA-1 da string final.

Essa função deve ser usada quando o usuário efetuar login. Assim que ele logar, salve no banco de dados (num campo diferente do da senha, claro) o hash gerado por hashForCookie. Esse é o dado que deverá ser salvo no cookie, além do nome do usuário, evitando salvar o hash da senha na máquina no usuário.

Para autenticar, verifique se o hash lido do cookie é o mesmo do salvo no banco de dados. Se for, autenticado, senão remova o cookie e solicite nome de usuário e senha. Assim que fizer login, gere o novo hash para o cookie, salvando-o no cookie, como citado anteriormente.

Uma forma simples de salvar esses dados num cookie usando PHP:

$user = 'Beraldo';
$hash = '2f9a922f0401476cd7089c235d76de5bb61150b9'; 
$dados = array( 'user' => $user, 'passwd' => $hash );
setcookie( 'nome_do_cookie', serialize( $dados ), time() + 86400 );

A função serialize serializa um objeto, retornando uma representação em string do mesmo. O caminho oposto pode ser feito com unserialize:

$cookie = $_COOKIE['nome_do_cookie'];
$dados = unserialize( $cookie );

Assim, $dados é o array que definimos no código anterior.

Conclusão

Essas não são soluções finais para os dois casos apresentados. São apenas sugestões. É possível criar suas próprias funções, próprias criptografias etc.

O importante é procurar formas seguras de desenvolver sistemas.

Abraços,

Beraldo

A melhor codificação a ser usada é a UTF-8, que suporta diversos idiomas, e tem sido adotada como codificação padrão em diversas aplicações.

E importante manter todas as codificações iguais, ou seja, todas em UTF-8. Para um site, é preciso atentar para as seguintes codificações:

Codificação do arquivo propriamente dito

É a codificação do arquivo dentro do sistema operacional. Ela pode ser modificada por meio do seu editor de textos. Por exemplo:

Exemplo de alteração de codificação no editor Gedit

Exemplo de alteração de codificação no editor Eclipse

Codificação do HTML

A codificação do HTML é definida por meio de meta tag ou da função header(), do PHP.

Definição por meio de meta tag:

<meta http-equiv="content-type" content="text/html; charset=utf-8" />

Definição por meio da função header(), do PHP:

1

header( 'Content-Type: text/html; charset=utf-8' );

Codificação do banco de dados e das tabelas

Se a sua aplicação usa um banco de dados, ele precisa, também, estar na codificação usada – UTF-8 no nosso caso. Ela é definida quando se criam o banco de dados e as tabelas. Por exemplo, com MySQL, podemos definir as codificação assim:

Codificação do banco de dados:

CREATE DATABASE bancodedados DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;

Codificação das tabelas:

CREATE TABLE tabela(
	id SMALLINT(5) UNSIGNED NOT NULL auto_incre3ment,
	nome VARCHAR(20) NOT NULL,
	sobrenome VARCHAR(50) NOT NULL,
	PRIMARY KEY (id)
) DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;

Assim, todos os campos do tipo string estarão na codificação utf8.

Problemas persistentes

Se você usava codificações diferentes, e, depois, modificou apenas a codificação do banco de dados, as acentuações, provavelmente, continuarão erradas. Não basta apenas mudar a codificação, nesse caso; será necessário passar os dados para outra tabela, que esteja, inicialmente, na codificação correta. É possível fazer essa transferência de dados por meio de apenas uma consulta. Para MySQWL, por exemplo, é possível usar um INSERT INTO… SELECT.

Mostrarei um forma muito simples de como armazenar essas informações num banco de dados e como exibi-las na tela, na forma de lista, técnica muito utilizada para construção de menus.

Vamos à modelagem, primeiramente.

Teremos apenas uma tabela. Esta é a estrutura dela:

(usarei MySQL neste artigo, mas a lógica da modelagem independe do SGBD usado)

CREATE TABLE categorias(
	id INT(5) UNSIGNED NOT NULL AUTO_INCREMENT,
	id_pai INT(5) UNSIGNED NOT NULL,
	nome VARCHAR(20) NOT NULL,
	PRIMARY KEY (id)
) DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;

Vamos popular a tabela da seguinte forma:

INSERT INTO categorias(id, id_pai, nome) VALUES
(1, 0, 'A Empresa'),
(2, 1, 'Sobre Nós'),
(3, 1, 'Objetivos'),
(4, 3, 'Objetivo dos nossos clientes'),
(5, 0, 'Contato'),
(6, 0, 'Produtos');

Obteremos a seguinte tabela:

mysql> select * from categorias;
+----+--------+----------------------+
| id | id_pai | nome                 |
+----+--------+----------------------+
|  1 |      0 | A Empresa            | 
|  2 |      1 | Sobre Nós           | 
|  3 |      1 | Objetivos            | 
|  4 |      3 | Objetivo dos nossos  | 
|  5 |      0 | Contato              | 
|  6 |      0 | Produtos             | 
+----+--------+----------------------+
6 rows in set (0,00 sec)

Nessa estrutura, temos três seções principais: “A Empresa”, “Contato” e “Produtos”. As categorias “Sobre Nós” e “Objetivos” são subcategorias de “A Empresa”. E “Objetivos dos nossos clientes” é subcategoria de “Objetivos”, que, por sua vez, é subcategoria de “A Empresa”, como citado anteriormente.

Vamos fazer uma seleção dessas informações e colocá-las num arrray, como o exibido abaixo.

// array que conterá as categorias
$cats = array();
 
$mysqli = new mysqli( 'localhost', 'user', 'senha', 'bancoDeDados' );
 
$sql = 'SELECT id, id_pai, nome FROM categorias';
 
$exec = $mysqli->query( $sql ) or exit( $mysqli->error );
 
$i = 1;
while ( $f = $exec->fetch_object() )
{
	$cats[$i]['id'] = $f->id;
	$cats[$i]['id_pai'] = $f->id_pai;
	$cats[$i]['nome'] = $f->nome;
	$i++;
}

Obteremos um array como o exibido abaixo:

$cats[1]['id_pai'] = 0;
$cats[1]['nome'] = 'A Empresa';
$cats[2]['id_pai'] = 1;
$cats[2]['nome'] = 'Sobre Nós';
$cats[3]['id_pai'] = 1;
$cats[3]['nome'] = 'Objetivo';
$cats[4]['id_pai'] = 3;
$cats[4]['nome'] = 'Objetivos dos Nossos Clientes';
$cats[5]['id_pai'] = 0;
$cats[5]['nome'] = 'Contato';
$cats[6]['id_pai'] = 0;
$cats[6]['nome'] = 'Produtos';

Note que o array não começou em zero. Os índices do array são os ID’s das categorias no banco de dados. Se começasse em zero, causaria conflito com o id_pai, que é zero para categorias principais.

Agora postarei uma função simples em PHP que montará o menu completo.

/**
 * Função que monta o menu com as categorias e subcategorias.
 * @param id_pai ID da categoria pai cujas subcategorias serão buscadas.
 * @param ArrayCats Array com as categorias do menu.
*/
function montaMenu( $id_pai, $arrayCats )
{
	// calcula o número de índices do array
	$catsSize = count( $arrayCats );
 
	echo "<ul>";
 
	for ( $i = 1; $i <= $catsSize; $i++ )
	{
		if ( $arrayCats[ $i ]['id_pai'] == $id_pai )
		{
			echo "<li>";
			echo $arrayCats[ $i ]['nome'];
 
			// busca as subcategorias da categoria atual
			montaMenu( $arrayCats[ $i ]['id'], $arrayCats );
 
			echo "</li>";
		}
	}
	echo "</ul>";
}

Você pode usar duas variáveis globais, se quiser: o array das categorias e a variável $catsSize. Isso reduz o processamento, uma vez que a função count() seria chamada apenas uma vez. Porém, para projetos grandes, com diversos menus, essa prática não seria bem-vinda.

Para exibir o menu, basta chamar a função da seguinte forma:

montaMenu( 0, $cats );

Ela começará buscando as categorias principais (id_pai = 0) e depois buscará por cada subcategoria.

Espero que o post tenha clareado a ideia de todos. Qualquer dúvida, basta deixar um comentário.

Abraços

Para exemplificar, vamos usar um sistema de cadastro onde as pessoas informam as linguagens de programação que conhecem.

Muitas pessoas criariam uma tabela no banco de dados com esta estrutura:

Tabela pessoas

ID	Nome	Linguagens
1	Gisele	PHP,Java,Shell Script,Ruby
2	Maria	C,C++,Shell Script,Lua
3	Ana		PHP,Ruby,Lua

Essa estrutura não é aconselhável. Imagine se precisar buscar pelas pessoas que conhecem PHP. Você terá de fazer uma consulta assim (para MySQL):

SELECT id, pessoa FROM pessoas WHERE linguagens LIKE '%PHP%';

Aparentemente não é complicado, mas, para o processador, é pior fazer um Like que fazer uma comparação de igualdade.

Situação pior é a ação de editar o campo das linguagens. É necessário editar a string.

A solução é simples: criar relacionamento entre tabelas.

Criaremos trÊs tabelas: uma conterá os nomes das pessoas; outra, os nomes das linguagens; e, finalmente, a tabela que relaicionará as duas anteriores, associando a cada pessoa uma ou mais linguagens.

Tabela pessoas

ID Nome
1  Ana
2  Gisele
3  Maria

Tabela linguagens

ID Nome
1  PHP
2  C
3  Java
4  Ruby

Tabela pessoas_linguagens

ID_PESSOA ID_LINGUAGEM
1         1
1         2
2         2
2         3
3         1
3         2
3         3

Esta última tabela é a responsável por relacionar cada pessoa às linguagens que conhece. Note que o ID da pessoa pode aparecer em quantos registros forem necessários, ou seja, nessa tabela não há chave primária.

Segundo a tabela, a pessoa 1 (Ana) conhece as linguagens 1 e 2 (PHP e C). A pessoa 2 (Gisele) conhece as linguagens 2 e 3 (C e Java). A pessoa 3 (Maria) conhece as linguagens 1, 2 e 3 (PHP, C e Java).

Com uma estrutura assim, é bem mais fácil editar valores, removê-los ou buscar pessoas que detêm determinado conhecimento.

Darei um exemplo, para MySQL, de como fazer um SELECT para mostrar as linguagens que cada pessoa conhece.

Usaremos esta estrutura de tabelas:

### Tabela com os nomes das pessoas
CREATE TABLE pessoas(
 id SMALLINT(5) UNSIGNED NOT NULL AUTO_INCREMENT,
 nome VARCHAR(20) NOT NULL,
 PRIMARY KEY (id)
) TYPE InnoDB DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;
 
 
### Tabela com AS linguagens
CREATE TABLE linguagens(
 id SMALLINT(5) UNSIGNED NOT NULL AUTO_INCREMENT,
 nome VARCHAR(20) NOT NULL,
 PRIMARY KEY (id)
) TYPE InnoDB DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;
 
 
### Tabela para relacionar AS duas anteriores
CREATE TABLE pessoas_linguagens(
 id_pessoa SMALLINT(5) UNSIGNED NOT NULL,
 id_linguagem SMALLINT(5) UNSIGNED NOT NULL
) TYPE InnoDB DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;
 
 
INSERT INTO pessoas VALUES
(1, 'João'),
(2, 'Maria'),
(3, 'José'),
(4, 'Gisele'),
(5, 'Ana');
 
 
INSERT INTO linguagens VALUES
(1, 'PHP'),
(2, 'Java'),
(3, 'Lua'),
(4, 'C'),
(5, 'C++'),
(6, 'Shell Script'),
(7, 'Ruby');
 
 
INSERT INTO pessoas_linguagens VALUES
(1, 1),
(1, 2),
(1, 3),
(1, 4),
(1, 6),
(2, 1),
(2, 3),
(2, 6),
(2, 7),
(3, 1),
(3, 2),
(3, 4),
(3, 5);

A consulta SQL:

SELECT p.nome AS pessoa , l.nome AS linguagem FROM pessoas AS p JOIN pessoas_linguagens AS pl ON pl.id_pessoa = p.id JOIN linguagens AS l ON l.id = pl.id_linguagem ORDER BY p.nome ASC;

Saída:

Da para melhorar essa estrutura, fazendo, por exemplo, integridade referencial (chave estrangeira). Mas não abordarei esse tema neste post.

Abraços!

Muitos dos bancos de dados de cidades que encontrei na Internet não tinham acentuação. Porém, encontrei este script, que satisfez a quase todas as minhas necessidades.

Fiz alguns ajustes no banco de dados, criei o arquivo de instalação e as funções PHP e JavaScript, para o funcionamento correto do sistema.

Desenvolvi para PHP 5, usando a extensão MySQLi.

Como o banco de dados é muito grande, não postarei o código.
O download pode ser feito aqui:
Link para download