pas d'injection sql possible vu qu'un prepare est utilisé.
si le pseudo à l'affichage n'est pas protégé, alors on peut insérer du html dans la page.

<?php
session_start();

$bdd = new PDO("mysql:host=localhost;dbname=tout;charset=utf8", "root", "");

 if(isset($_POST['message']) AND !empty($_POST['message']))
{
	$pseudo = $_COOKIE['pseudo'];
 	$message = htmlspecialchars($_POST['message']);
 	$insertmsg = $bdd->prepare("INSERT INTO chat (pseudo, message) VALUES (?,?)");
 	$insertmsg->execute(array($pseudo, $message));
} 

Bonjour !
J'aimerais avoir de l'aide pour de l'injection MySQL.
Voici mon code : [PHP]<?php
session_start();

$bdd = new PDO("mysql:host=localhost;dbname=tout;charset=utf8", "root", "");

if(isset($_POST['message']) AND !empty($_POST['message']))
{
$pseudo = $_COOKIE['pseudo'];
$message = htmlspecialchars($_POST['message']);
$insertmsg = $bdd->prepare("INSERT INTO chat (pseudo, message) VALUES (?,?)");
$insertmsg->execute(array($pseudo, $message));
} [/PHP]
J'aimerais savoir qu'est ce qui ne marche pas.
Merci d'avance !