je me demandais, est-il utile de vérifier les données entrées par l'utilisateur que vais mettre en paramètre d'une requête sql.
Par exemple, est-ce que le code suivant est sûr : (imaginons qu'on ait un formulaire avec une entrée texte nommée "input1").
Code : Tout sélectionner
$attr1 = $_POST["input1"];
...
$req="select att0 from tab where att1=".$att1.;
...
execution de la requete etc.
Php protège-t-il automatiquement le contenu de $attr1 de toute interprétation ou alors je dois bien vérifier que la variable $attr1$ ne contient pas des requêtes cachées ou je ne sais quoi ?