Dati da form a tabella database

[Nonsonome1]

Salve a tutti,
sono nuova di questo forum e non so se sto scrivendo nella sezione giusta.
Vorrei realizzare un codice che mi permetta di prendere i dati inseriti in un form html ed inviarli ad una tabella nel database.
Il codice della mia pagina è questo

<html>

<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>Prova</title>
</head>

<body>


<h1>Inserisci qui la tua richiesta!</h1>
<table width="300" border="0">
<form method="post">
<tr>
<td width="128">Nome</td>
<td width="221"><input name="nome" type="text"/></td>
</tr>

<tr>
<td>Zaffiri</td>
<td><input name="zaffiri" type="text"/></td>
</tr>

<tr>
<td colspan="2"><input type="submit" value="Invia"/></td>
</tr>

</form>
</table>

<?php

$host = 'localhost';
$user = 'mio nome utente';
$password = 'mia pass';
$database = 'nome database';


$connessione = mysql_connect($host, $user, $password)
or die ("Impossibile connettersi al database");

mysql_select_db($database)
or die ("Impossibile connettersi al database $database")


$zaffiri = $_POST['zaffiri'];
$nome = $_POST['nome'];




$query_insert = "INSERT INTO tabella1 (nome, zaffiri) VALUES ('$nome', '$zaffiri')";

$risultato_insert = mysql_query($query_insert);

if (!$risultato_insert){
die("Errore nella query $query_insert: " . mysql_error());
}

mysql_close();


?>



Inviato correttamente!


</body>
</html>


Mi dice che l'errore è a questa riga:
$zaffiri = $_POST['zaffiri'];


Come risolvo?

[arkus]

ciao,
dovresti riportare l'errore completo,
comunque in quella zona manca la chiusura dell'istruzione (manca il punto e virgola)

mysql_select_db($database) or die ("Impossibile connettersi al database $database");

[Kups]

L'errore dipende dal motivo che ti hanno già indicato, vorrei però far presente che la tua applicazione andrebbe resa un peletto più sicura.

Dovresti sanitanizzare i dati che raccogli dal form, di modo che un malintenzionato non possa arrecare danni con facilità.

A questo fine, posso consigliarti di dare un occhiata alle seguenti funzioni di PHP (nelle pagine sono presenti anche degli esempi di funzionamento):

• filter_var()
• mysql_real_escape_string()

Secondariamente, sempre per l'aspetto security, ti consiglio di convertire mysql a mysqli (in questo caso la funzione di escape è mysqli_real_escape_string()).
MySqli è la nuova estensione di php per gestire le comunicazioni con un database mysql, oltre ad essere ovviamente più sicura e recente.
La vecchia estensione mysql (ricordo di PHP 3.0) è stata già dichiarata deprecata e sarà rimossa nelle future versioni di PHP.

[Nonsonome1]

Io sono alle prima armi ... vedrò di garantire più sicurezza alla mia pagina. Grazie dell'aiuto

[Nonsonome1]

Ho un altro problema. Finora mi andava tutto a meraviglia fin quando ho cancellato nella tabella i dati immessi fino a quel momento. Da allora non mi inserisce più i dati della form nella tabella.
Ho provato a ricrearla e non mi mostra la tabella dicendo che ha restituito un insieme vuoto, la cosa strana è che il codice php non mi da alcun errore