Syntax erro mysql in php

[bobo19]

Γειάς. Μια βοήθεια παρακαλώ, έχω ένα κομμάτι κώδικα που ενώ λειτουργεί κανονικά, δηλαδή κάνει UPDATE στον πίνακα στην βάση δεδομένων, μου εμφανίζει το ακόλουθω μύνημα λάθους. You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' at line 1

 

Ο Κώδικας είναι:

if (isset($_POST['product_name'])) {

$product = $_POST[product];

$product_name = $_POST[product_name];

$product_description = $_POST[product_description];

$product_price = $_POST[product_price];

 

 

$sql = mysql_query("UPDATE PRODUCTS SET product_name='$product_name', product_description='$product_description', product_price='$product_price' where product_id='$product'") or die(mysql_error());

}

 

Τι έχω λάθος, ή τι μπορώ να κάνω για να το παρακάμψω αφού έτσι και αλλιώς εγώ παίρνω το αποτέλεσμα που θέλω στην βαση μου.

 

Ευχαριστώ πολύ.

[Xdanger]

καταρχήν βάλε τα post μέσα σε mysql_real_escape

 

Αν δεν θές να εμφανίζεται το μύνημα λάθους βγάλε το mysql_error απτό die

[bobo19]

χμμμ τελικά χτυπούσε σε άλλο σημείο του κώδικα.. Σ' ευχαριστώ πάρα πολύ για την γρήγορη απάντηση.. Και μιας και το έφερε η κουβέντα, τι πρόβλημα θα υπάρξει άμα δεν βαλω τα POST μέσα σε mysql_real_escape() ; Είναι καλύτερο προγραμματιστηκά? Είναι καλύτερο για την ασφάλεια? Με μια ματιά που διάβασα απο κάποια σχόλια με έκανε να μπερδευτώ περισσότερα. Συγνώμη αλλά νέος στην php!

[Xdanger]

Για λόγους ασφαλείας, αποτρέπει το SQL injection

οτ;ν βέβαια μεταφέρεις κείμενο το οποίο θα χρησιμοποιηθεί σε SQL query