Inserire dati in tabella MYSQL attraverso pagine HTML/PHP

[Alhazred]

Bene, ora un altro paio di cose.

Codice PHP:

$connessione=mysqli_connect("localhost","username","","my_username");
// Controllo la connessione
if (mysqli_connect_errno($con)) 


Occhio, che la variabile l'hai chiamata $connessione, non $con, correggi.

Codice PHP:

$inserimento="
INSERT INTO tabella_esempio (nome, indirizzo)
VALUES('$_POST[nome]','$_POST[indirizzo]')
"; 


Non usare mai direttamente i dati provenienti da un form e che andranno ad interagire con il database, potrebbe esserci del codice malevolo.
Prima passa i dati alla funzione mysqli_real_escape_string()

[nome]

Corretta la prima cosa, mi sono bloccato sulla seconda: il passaggio che mi suggerisci con la funzione mysqli_real_escape_string() è corretto scritto così?

Codice PHP:

$inserimento=mysqli_real_escape_string($connessione,$inserimento); 


Giusto per avere più consapevolezza, da cosa mi protegge di preciso questo passaggio? Quando parli di "codice malevolo" intendi dei caratteri che potrebbero essere male interpretati o altro?

[Alhazred]

Alla funzione devi passarci i singoli dati, ad esempio così

Codice PHP:

$nome = mysqli_real_escape_string($_POST['nome']);
$indirizzo = mysqli_real_escape_string($_POST['indirizzo']);

$inserimento="INSERT INTO tabella_esempio (nome, indirizzo) VALUES('$nome','$indirizzo')"; 


[nome]

Se ho ben capito leggendo qua e là a proposito di questa funzione, il parametro della mia connessione lo avrei dovuto mettere qualora avessi usato mysql_real_escape_string() ma non è necessario in questo caso con mysqli_real_escape_string() ...