Salut à tous,

Dans le manuel php, ils disent que la fonction mysql_real_escape_string sert à protèger les caractères spéciaux d'une commande SQL.

Du point de vue de la sécurité, est il nécessaire d'utiliser cette fonction? De mon côté j'utilise juste un contrôle avec "htmlspecialchars" ainsi que "strip_tags". Est-ce suffisant?

L'utilisation de cette fonction va surtout éviter les erreurs dues à des conflits entre les apostrophes encadrant la chaine de caractère envoyée vers la base et les apostrophes qui font partie de cette chaine elle-même.