Stringhe che passione

[davidec84]

Cara amici del Forum

questa stringa mi sta facendo impazzire:

Codice PHP:

$controllo=mysql_query("select * from utenti where username ="$_POST['username']""); 


mi restituisce questo errore

Parse error: syntax error, unexpected '"' in /web/htdocs/www.trabiaplanet.it/home/davide/lavori/imageservice/register.php on line 18

Se invece scrivo

Codice PHP:

$controllo=mysql_query("select * from utenti where username ="pippo""); 


tutto funziona regolarmente!?!?!?

Vi prego datemi una mano!!

Grazie a tutti!

[goikiu]

Codice PHP:

$var = $_POST['username'];
$controllo=mysql_query("select * from utenti where username ='$var'"); 


prova così

[davidec84]

Ragazzi ho risolto così

Codice PHP:

$controllo=mysql_query("select * from utenti where username ='".$_POST['username']."'"); 


Che ne dite?

[goikiu]

è identica alla mia opzione lol devi legare le stringe con il punto nel tuo caso

[Luke70]

Le due soluzioni sono sostanzialmente identiche.
Il problema era nella mancanza di ' ' nella sintassi SQL che permettesse a myPHP di capire che la comparazione da fare era con una stringa.

[Linus80]

Originariamente inviato da davidec84
Ragazzi ho risolto così

Codice PHP:

$controllo=mysql_query("select * from utenti where username ='".$_POST['username']."'"); 


Che ne dite?

funziona si ma... è un suicidio! è una query vulnerabilissima da attacchi di malintenzionati...

molto meglio

Codice PHP:

$username=mysql_real_escape_string($_POST['username']);
$controllo=mysql_query("select * from utenti where username ='".$username."'");