un ragazzo che mi ha aiutato a fare il form mi aveva scritto questo:
codice:
//connect to the database 
mysql_connect ($dbhost, $dbusername, $dbuserpass); 
if (!mysql_select_db($dbname)) die(mysql_error()); 

// QUI DEVI FARE UN CONTROLLO DELLE VARIABILI! 
// devi verificare se sono del formato che desideri (intero, stringa ecc) 
// se non sono vuote... 
// e soprattutto devi fare l'escape dei caratteri pericolisi.
questa cosa qui vorrei fare, ma non so da dove iniziare