récupération dynamique des données en php et sql

j'ai implémentée ce code à fin qu'aprés lauthetification du parents il affiche une tableau qui contient le nom et prénom de son fils ainsi que les punitions et les avertissments...etc

mais le code ne tourne pas ...
ya pas qui peut maider et une grande merci a SornDrixer


le code php est le suivant:



<?php

include('../pageauthetification-copie final-/connection.php');
$login=$_POST['login_p'];
if (empty($login))
{
$sql = 'SELECT Nom_E.E,Prénom_E.E,*.A,type_c.C,durée_c.C,date_t.T,heure_d_T.T,heure_f_T.T,*.CL,*.S
FROM eléve(E),temps(T),conseil(C),avertissement(A),parent(P),classe(CL),section(S)
WHERE P.login_p = "'.$login.'"
and A.login_p = "'.$login.'"
and C.login_p = "'.$login.'"
and T.login_p = "'.$login.'"
and E.login_p = "'.$login.'";' ;

// on lance la requête (mysql_query) et on impose un message d'erreur si la
//requête ne se passe pas bien (or die)

$req = mysql_query($sql) or die('Erreur SQL !<br />'.$sql.'<br />'.mysql_error());


// on récupère le résultat sous forme d'un tableau
$data = mysql_fetch_array($req);


?>

à tu des erreurs?

Mois je vois juste que ca:

c'est bizarre... tu veux pas plutôt vérifier si $login N'EST PAS vide?

Sinon fais extrêmement attention avec ton code, car dans l'état actuel, toute personne authentifiée pourrait avoir accès aux donnés d'un autre elève... (il suffirais de modifier la donnée POST 'login_p', ce qui n'est vraimment pas compliqué!)

Sinon il y a aussi possibilié de faire une injection SQL dans l'état actuel des choses...... remplace $login par '" or 1 = 1 or "' et toutes les conditions sont toujours vraies (oui... 1 = 1... toujours :P) et un parent (ou un méchant hacker) recevrais la liste de TOUTES les punitions avertissements etc.... En plus cela pourrait provoquer une grosse charge à ton serveur!

Cordialement,
- Pysco68