Originariamente inviata da
boots
Codice PHP:
...
$query = " SELECT * FROM utenti";
$result = mysql_query ($query, $db) or die (mysql_error ($db));
$usr = $result['username'];
$mail = $result['email'];
if ($user != $_POST['user'] && $mail != $_POST['email']) {
$query = " INSERT INTO utenti (nome, cognome, username, password, email, sesso, club, ...
E' decisamente sbagliato. $result è una resource, non un array. Per vedere se c'è già un utente basta che fai:
Codice PHP:
$usr = mysql_real_escape_string($_POST['username']);
$mail = mysql_real_escape_string($_POST['email']);
// Probabilmente vorrai che email e username sia unici singolarmente
$result = mysql_query("SELECT * FROM utenti where username = '$usr' OR email = '$mail' ");
if(mysql_num_rows($result) == 0){
// Inseriemento
}else{
// username o email già registrati
}
Inoltre:
1 dovresti fare l'escape (mysql_real_escape_string() ) su tutti i dati che ti arrivano dall 'utente
2 dovresti validare i dati anche lato server con PHP(es se la mail è una mail valida, se i campi richiesti siano valorizzati, etc)
Rispondi quotando