ciao filippo.toso, quello che mi hai postato me lo sono studiato,

codice:
<?php

$nome = isset($_POST['nome']) ? $_POST['nome'] : '';
$nome = get_magic_quotes_gpc() ? stripslashes($nome) : $nome;

$html = sprintf('<input type="text" name="nome" value="%s" />', htmlentities($nome, ENT_QUOTES));

$sql = sprintf('SELECT * FROM table WHERE nome = "%s"', mysql_real_escape_string($nome));

?>
quello che non mi spiego è quel value="%s" e il motivo di fare stampare a php il form html e non solo il valore del value..

ciao
grazie ancora