Ciao
ti ringrazio per la risposta
error_reporting è impostato a ALL come sempre faccio in fase di sviluppo ma non viene riportato nessun errore
inoltre se l'errore è generato dal metodo che esegue la query dovrebbe stampare un messaggio. ti riporto il codice semplice semplice:
function query($sql) {
$result = mysql_query($sql) or die("query error:
".mysql_error()."
".$sql);
return $result;
}

il problema semmai è che non stampa messaggi prima della chiamata del metodo, e non essendoci fatal errors questo non è regolare.
quanto ai problemi di sicurezza sicuramente sono inesperto ma non ne vedo, puoi dirmi quali sarebbero e come posso rimediare?

ciao e grazie