variabili passate a pagina trammite url

[paolobig1]

Ciao devo inviare una variabile trammite url
<a href=http://www.....it/pagina.php?query=$query>.....</a>

la variabile $query è una stringa alla quale ho aggiunto il simbolo "@" che delimita gli spazzi vuoti. La variabile $query và ad eseguire un'interogazione al database nella pagina seguente.
ESEMPIO: $query="@marca@=@1233@mod@=@tr9922h@casa@=@css8828 2@";

Quando la variabile arriva alla pagina tolgo il simbolo "@" e la concateno con $QUERY_="WHERE". $query." ORDER BY id";

Morale della favola la query eseguita non dà nessun risultato anche se nel DB sono presenti dei dati corrispondenti.

[Eyescream]

echo $query e cosi vedi se è mal formattata

[web ces]

manca la virgola?
è molto pericoloso cmq eseguire query passate da url (col GET)
p.s. le @ a cosa servono?

[paolobig1]

perchè è pericoloso se passo solamente parte della query?
se qualcuno inserisse un DROP TABLE o qualcosa del genere non avrebbe effetti perche la stringa successivamente viene concatenata con il WHERE perciò se qualcuno modifica le variabili nell'url otterebbe solamente altri risultati.
Non avrebbe senso una query del genere WHERE DROP TABLE ecc...
Correggetemi se sbaglio!

Il simbolo @ non ha nessun significato e serve solamente per eliminare gli spazzi vuoti poteva andar bene qualsiasi altra cosa.

[paolobig1]

la virgola dove?

[Eyescream]

non è pericolosa una cosa del tipo
$query="a=b;drop@table;@select@*@from@niente";
o forse no ?

[paolobig1]

ma se nella pagina concateni il where alla variabile WHERE.drop ecc...
MYSQL và in errore.
Giusto?

[paolobig1]

Scusate se insisto ma volevo sapere se è effettivamente un pericolo anche se invio come vi ho spiegato