Ton premier message était très bien, mais s'adressant à un débutant, la dernière ligne était à mon avis en trop et prête à confusion.... J'avoue qu'a la relecteur c'est pas très clair, je pensais cela sur la ligné de mon 1er message ^^
@+
Il faut distinguer la sécurisation d'une requête, de l'utilisation ultérieure des données.
A la première question, on répond classiquement par l'utilisation de mysql_real_escape_string avec les extensions mysql ou mysqli, et l'utilisation préférentielle des requêtes préparées avec l'extension PDO.
A la deuxième question on répond classiquement qu'il faut protéger l'affichage avec htmlspecialchars ou autre fonction "similaire".
Mais filtrer ou convertir par avance des caractères à l'entrée en bdd, simplement pour éviter d'avoir ensuite à protéger l'affichage est une fausse bonne idée. Dans la même lignée on voit parfois des scripts qui enregistrent les données en bdd avec htmlspecialchars ou htmlentities, ce qui encombre inutilement les tables avec des entités inutiles, les rends incompatibles pour un export propre sans traitement php préalable, et en plus peut poser de gros problèmes pour la recherche ex : ce topic.
@arthur77 : il y a un tuto avec code complet ici sur l'inscription et la connexion dans un espace membre. L'enregistrement en bdd se fait avec mysql et donc l'utilisation de mysql_real_escape_string pour protéger la requête.
Si tu utiles PDO c'est le même principe excepté que tu n'utilises plus mysql_real_escape_string mais les fonctions spécifiques à PDO, ou mieux, PDO avec des requêtes préparées qui sont réputées fournir un maximum de sécurité (même si techniquement elles ne se justifient pas pour des raisons de performances dans ton script puisqu'elles ne sont pas répétées).
