query anomala

[italian_spike]

questa query:

codice:

$query_controllo_login_mail_password=mysql_query("SELECT id FROM users WHERE email=$_POST[email]") or die(mysql_error());

mi da quest'errore:

codice:

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '@agente.it' at line 1

invece questa query non mi da errori:

codice:

$query_controllo_login_mail_password=mysql_query("SELECT id FROM users WHERE password=$_POST[password]") or die(mysql_error());

sembra quasi che la @ nel campo email li dia fastidio? Qualcuno sa perche?

Grazie in anticipo

[marketto]

devi usare gli apici:

codice:

"SELECT id FROM users WHERE email='$_POST[email]'"

[italian_spike]

cavolo di appici... Scusate il disturbo...

[LeaderGL]

Originariamente inviato da marketto
devi usare gli apici:

codice:

"SELECT id FROM users WHERE email='$_POST[email]'"

Io gli avrei anche consigliati di evitare di utilizzare direttamente dati provenienti da $_POST....sopratutto nei database e peggio ancora se per una fase di login.

Italian_spike con questa query il tuo sito è altamente vulnerabile!

[italian_spike]

e cosa consigli?

[LeaderGL]

beh come già scritto in altre discussioni e come scritto nelle guide sulla sicurezza di HTML.it consiglio di verificare che i dati in ingresso siano effettivamente della forma che ti aspetti e di effettuare anche il loro "escape" in modo che non vengano eseguite SQL Injections o altro...