Eliminare dati da db mysql con php

[vodka]

Come faccio ad eliminare dei dati da un db mysql utilizzando php?
Mi spiego cosa devo fare..
Devo eliminare una riga di un db nel caso la password inserita nel form html corrisponde a quella del db, in caso affermativo eliminare la riga in cui la password coincide.
Vi posto la parte html.

	<form method="post" action="revocaman.php">
	<div id="" class="">
		Inserisci la tua password
	</div>
	<input type="password" name="passw"><br><br>
	<div id="" class="">
		Conferma la tua password
	</div>
	<input type="password" name="passw1"><br><br>
	<input type="submit" value="Elimina" name="revoca">
	</form>

questa la parte php

	<?php
	if (isset($_POST['revoca']))
	{
		if ($_POST['passw']==$_POST['passw1'])
		{
			$passw=$_POST['passw'];
			include 'configauto.php';
			$query= "SELECT * FROM manutenzione ";
			$result = mysql_query($query) or die (mysql_error());
			while ($row=mysql_fetch_assoc($result))
			{
				$passw1=trim($row['password']);
				if (strcmp($passw, $passw1)==0)
				{
					$query1="DELETE FROM 'manutenzione' WHERE password=$passw";
					$query_results = mysql_query($query) or die("&error=1"); 	
					echo '<script langage=\"Javascript\">alert("Revoca avvenuta con successo!");</script>';
				}

			}
			if ( strcmp($pass, $pass1)!=0)
			{
				echo '<script langage=\"Javascript\">alert("Password errata o Prenotazione manutenzione non ancora effettuata!");</script>';

			}
			
		}
		else
		{
					ob_start();
					echo '<script langage=\"Javascript\">alert("Le password non coincidono, fare attenzione nella scrittura!");</script>';
					header( "Refresh:0.1; url=assistenza.php" );
					ob_end_flush();
		}
	}
?>

Così facendo non mi elimina i dati anche se mi dà il messaggio revoca avvenuta...Come posso risolvere?

 

[alessandro1997]

Hai sbagliato il nome della variabile contenente il codice SQL per la cancellazione. Modifica questa riga:

$query_results = mysql_query($query) or die("&error=1");

Così:

$query_results = mysql_query($query1) or die("&error=1");

Ora dovrebbe funzionare

 

[vodka]

non funziona ancora...mi dà questo l'errore :
You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''manutenzione' WHERE password=rocco' at line 1

 

[borgo italia]

ciao prova a scriverla così

$query1="DELETE FROM manutenzione WHERE password='$passw'";

 

[vodka]

ok funziona grazie

 

[micio86]

Singoli apici

I singoli apici usateli SEMPRE e SOLO per i valori dei campi.
E' una buona misura di sicurezza

 

[alessandro1997]

Più che altro i singoli apici possono essere usati solo per i valori dei campi, altrimenti MySQL restituisce un errore. Per i nomi di tabelle, campi e database deve essere usato l'apice "storto" (questo: `).

 

[borgo italia]

ciao
ma se non necessario perche mettere qualcosa in più?

 

[alessandro1997]

Perché MySQL ha alcune keyword che non possono essere usate come nomi di campi. Quindi le alternative sono due: o si cambia nome al campo o si aggiungono gli apici nelle query. Tempo fa mi è capitato di creare una tabella con un campo group, e non capivo perché accidenti tutte le query SQL restituivano un errore su quel campo. Poi ho scoperto che GROUP è una di queste keyword.

 

[borgo italia]

ciao
da un certo punto di vista hai ragione, ma (almeno io) penso che l'errore sia dovuto ad una certa "sudditanza" agli anglofoni.
se uno scrive come mangia cioe gupppo al posto di group certi errori si evitano.
io sono fermamente sostenitore (ove si può) usare l'italiano.

p.s.
proprio in questi giorni (visitando aihme) un ospedale ho visto un'indicazione
day surgeyy =>
traduzione: dagli al surgelato

 

[micio86]

perchè

Se sono un hacker e ti voglio modificare addirittura la query gioco proprio con gli apici e ti frego alla grande

 

[vodka]

quindi in caso di errori si può provare a mettere gli apici storti...ma come si fanno questi apici?

 

[micio86]

mmm

per tabelle, nomi campi io personalmente non ne uso

 

[alessandro1997]

@borgo Chiamare campi, tabelle, variabili e compagnia bella con nomi italiani si può fare se sei l'unico ad accedere al software. Quando inizi a sviluppare applicazioni Open Source e chiunque può leggerne i sorgenti diventa odioso per gli stranieri tradurre tutti i nomi. È come se i nomi delle tabelle e delle variabili di WordPress fossero in tedesco... capiresti qualcosa se volessi modificare il codice?

@micio86 Ormai nessuno usa più le SQL injection per manipolare i dati di un sito, perché è una vulnerabilità vecchia e qualunque programmatore con un minimo di cervello prende precauzioni. Peraltro, con le nuove librerie, non è neanche più necessario eseguire l'escape di ogni singolo dato: PDO aggiunge automaticamente gli apici nei dati delle prepared statements, e PHP, con il safe mode abilitato, effettua l'escape degli input (GET e POST).

 

[micio86]

Ehh

Sono arretrato