Inserire dati in tabella MYSQL attraverso pagine HTML/PHP

[nome]

Ciao a tutti, ecco il problema. (Sono proprio alle prime armi e ho già letto la guida di base.. ora sto tentando di far pratica).

MIO OBIETTIVO:
1) vorrei avere una pagina html in cui dal sito web uno può inserire dei dati che finiranno in una tabella mySQL (e dalla quale poi poter richiamare, all'occorrenza in altre pagine html, solo quelli utili..)
2) ho creato una pagina html così:

codice:

<form method="post" action="input.php">
Nome: <input type="text" name="nome" size="25">
Indirizzo: <input type="text" name="indirizzo" size="50">
<input type="submit" value="Invia">

3) e poi la pagina input.php

Codice PHP:

$connetti=mysql_connect('localhost','username','') or die('Errore...');
$apridb=mysql_select_db('my_username', $connetti) or die('Errore...');
$metto=mysql_query("INSERT INTO tabella_esempio (nome,indirizzo) VALUES ('$nome','$indirizzo')");
$chiudi=mysql_close($connetti); 


PROBLEMA: innanzitutto: mi dà errore! (come devo fare per ricevere la descrizione dell'errore con php?)
Sul perché non funzioni, può c'entrare il fatto che "nome" e "indirizzo" sono i nomi della seconda e della terza colonna della tabella mentre la prima colonna, che ho chiamato ID e si compila da sola, non l'ho considerata in questo script?

Grazie,
Claudio

[Alhazred]

invece di
die('Errore...');

metti
die(mysql_error());

Altra cosa, $nome e $indirizzo li assegni in precedenza con una cosa così?
$nome = $_POST['nome'];
$indirizzo = $_POST['indirizzo'];

Se non fai così la query non funzionerà e se dovesse funzionare vuol dire che la direttiva register_globals nel php.ini è attiva e sarebbe meglio disattivarla.

Ultima cosa: visto che sei all'inizio, impara da subito ad usare mysqli oppure PDO per interfacciarti al DB, mysql sarà presto deprecato e non funzionerà più sulle nuove versioni di PHP.

[nome]

Grazie mille, ora provo e poi scrivo qui come è andata..

[nome]

Perfetto: ora tutto mi funziona. Funzionava anche lo script precedente aggiungendo le due precisazioni mancanti. Poi, come da suggerimento, ho provato a passare a mySQLi: visto che devo imparare meglio usare direttamente i comandi nuovi... Grazie ancora!

Codice PHP:

<?php
$connessione=mysqli_connect("localhost","username","","my_username");
// Controllo la connessione
if (mysqli_connect_errno($con))
  {
  echo "Connessione fallita a MySQL: " . mysqli_connect_error();
  }

$inserimento="
INSERT INTO tabella_esempio (nome, indirizzo)
VALUES('$_POST[nome]','$_POST[indirizzo]')
";

// Controllo inserimento dati in tabella la connessione
if (!mysqli_query($connessione,$inserimento))
  {
  die('Errore con inserimento : ' . mysqli_error($connessione));
  }
echo "1 record aggiunto";

mysqli_close($connessione);
?>

[Alhazred]

Bene, ora un altro paio di cose.

Codice PHP:

$connessione=mysqli_connect("localhost","username","","my_username");
// Controllo la connessione
if (mysqli_connect_errno($con)) 


Occhio, che la variabile l'hai chiamata $connessione, non $con, correggi.

Codice PHP:

$inserimento="
INSERT INTO tabella_esempio (nome, indirizzo)
VALUES('$_POST[nome]','$_POST[indirizzo]')
"; 


Non usare mai direttamente i dati provenienti da un form e che andranno ad interagire con il database, potrebbe esserci del codice malevolo.
Prima passa i dati alla funzione mysqli_real_escape_string()

[nome]

Corretta la prima cosa, mi sono bloccato sulla seconda: il passaggio che mi suggerisci con la funzione mysqli_real_escape_string() è corretto scritto così?

Codice PHP:

$inserimento=mysqli_real_escape_string($connessione,$inserimento); 


Giusto per avere più consapevolezza, da cosa mi protegge di preciso questo passaggio? Quando parli di "codice malevolo" intendi dei caratteri che potrebbero essere male interpretati o altro?

[Alhazred]

Alla funzione devi passarci i singoli dati, ad esempio così

Codice PHP:

$nome = mysqli_real_escape_string($_POST['nome']);
$indirizzo = mysqli_real_escape_string($_POST['indirizzo']);

$inserimento="INSERT INTO tabella_esempio (nome, indirizzo) VALUES('$nome','$indirizzo')"; 


[nome]

Se ho ben capito leggendo qua e là a proposito di questa funzione, il parametro della mia connessione lo avrei dovuto mettere qualora avessi usato mysql_real_escape_string() ma non è necessario in questo caso con mysqli_real_escape_string() ...

[Alhazred]

Oh, giusto, nella versione procedurale della funzione ci va messa anche la variabile contenente il link alla connessione.

$nome = mysqli_real_escape_string($connessione,$_POST['nome']);
...

[nome]

Bè ancora grazie... mi hai proficuamente complicato le cose! Ora cerco di assimilare e vado avanti a far pratica con le varie funzioni. A risentirci sul forum, ciao!