Je suis d'accord mais mes deux requêtes sont déjà sous forme de PDO::prepare regarde

$sql2= "UPDATE news SET titre=?,contenu=?, timestamp=? WHERE id='" . $_POST['id_news'] . "' ";
$req2 = $cnx->prepare($sql2);
$req2->execute($q);

et

$req = $cnx->prepare('INSERT INTO news (titre, contenu, timestamp) VALUES (:titre, :contenu, :timestamp)');
$req->execute($q);

Oui mais le paramètre id n'est pas protégé.
N'importe qui en modifiant l'url peut faire ce qu'il veut avec ta base de données.
Notamment en faisant une chose du genre : qui aura pour effet de mettre à jour tous les enregistrements de ta table à la fois.

Pour tes formulaires ils ne sont pas soumis à condition.
Ils devraient donc être visible.
Sauf si tu as une autre erreur PHP qui se cache dans le DOM HTML et n'est pas visible.
Tu peux faire un clic droit sur la page de ton navigateur et afficher le code source.
En navigant dedans tu pourras voir à la fin ce qu'il y a (le code du formulaire ? un message d'erreur ?).

Merci pour le conseil mais je ne vois pas comment protéger l'id peut tu me montrer le code à ajouter s'il te plait ???
En ce qui conserne le code source comme tu m'a dit, ça m'affiche que ça sur la page

<!DOCTYPE html PUBLIC>
	<html>
		<head>
			<title>Rédiger une news</title>
			<meta charset="utf-8">
			<style type="text/css">
			h3, form
			{
			text-align:center;
			}
			a {
				text-decoration:underline;
				color:black;
			}
			a:hover{
				color:blue; 
			}
			</style>
		</head>
		<body>
			<h3><a href="liste_news.php">Retour à la liste des news</a></h3>
			

Je ne sais donc toujours pas comment résoudre mon problème de formulaire =( Cependant on peut voir sur le code source que la fin de mes codes n'est pas affiché (fermeture du body et du html avec les formulaire pour le coup qui ce trouve avec) A tu une autre idée ???

J'ai d'ailleur essayer en enlevant tout le php et là les formulaire s'affiche !!!

Tu as donc bien une erreur de syntaxe dans le PHP.
Vérifies le fichier de log d'Apache ou bien rajoutes error_reporting en haut de page pour trouver l'erreur.

Pour protéger les variables rien de mieux que la documentation de la fonction :
PDO::quote : http://fr2.php.net/manual/fr/pdo.quote.php
Son retour peut ensuite être concaténé dans une requête SQL.
Les requêtes préparées : http://fr2.php.net/manual/fr/pdo.prepare.php
(aucune variable injectée directement dans la requête, uniquement via execute)

salut,

je pense que tu devrais utiliser un debugguer c'est vraiment plus qu'utile
Lorsque l'on développe il faut parfois utiliser quelque outils plus complexe que notepad++ mais c'est bigrement efficace et utile

Tuto pour Xdebug : http://blog.pascal-martin.fr/post/xdebu ... clipse-pdt

coté configuration de php il te faut :
- error_reporting == E_ALL
- display_error = on

- est ce que tu n'aurais pas un "die()" (ou exit()) qui traine dans ton code ?
- Est ce qu'il y a plus d'info dans le log du serveur web (httpd)
Questions récurrente mais obligatoire pour avancer.

@+

C'est bon j'ai trouver je mettrai la solution plus tard là je suis sur ma tablette mais merci a tous et je vais essayer Xdebug merci