Bonjour à tous,

je travaille actuellement sur la refonte d'un site auquel je voudrais ajouter un livre d'or, étant débutant, j'aimerais avoir votre avis sur le code et notamment d'un point de vue sécurité, ou s'il y a des améliorations que je pourrais apporté.
j'aimerais aussi savoir (mais peut-être ne suis-je pas sur le bon forum), si on peut l'améliorer avec du javascript (ou jquery).
voici mon code :

le premier est config.php, ce sont mes éléments de configuration, que je changerais pour mettre ceux du serveur:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
<?php
 
define('DB_SERVEUR', 'localhost');
 
define('DB_NAME', 'livreor');
 
define ('DB_LOGIN','root');
 
define('DB_PASS', '');
 
define('DB_ENC', 'UTF8');
?>
le deuxième est index.php:

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
<?php
require "config.php";
 
//connexion base de donnée
mysql_connect(DB_SERVEUR, DB_LOGIN, DB_PASS);
mysql_select_db(DB_NAME);
mysql_query('SET NAMES '.DB_ENC);
 
//on vérifie qu'un message est posté et on l'ajoute dans bd
if(!empty($_POST))
{
	$pseudo = mysql_real_escape_string(htmlspecialchars($_POST['pseudo']));
	$email = mysql_real_escape_string(htmlspecialchras($_POST['email'])); 
    $message = mysql_real_escape_string(htmlspecialchars($_POST['message']));
    $message = nl2br($message);
	extract($_POST);
	$ip= $_SERVER["REMOTE_ADDR"];
	$sql = "INSERT INTO lo_message (pseudo,mail,message,ip) VALUES ('$pseudo','$email','$message','$ip')";
	mysql_query($sql) or die('erreur SQL !<br>'.$sql.'<br>'.mysql_error());
}
 
//Suppression message
if(isset($_GET['suppr']))
{
	$sql = "DELETE FROM lo_message WHERE id={$_GET['suppr']}";
	mysql_query($sql) or die('erreur SQL !<br>'.$sql.'<br>'.mysql_error());
	echo "Message supprimmé";
}
?>
 
<form method="post" action="index.php">
	nom : <input type="text" name="pseudo"/><br/>
	mail : <input type="text" name="email"/><br/>
	message :<br/>
	<textarea name="message"></textarea><br/>
	<input type="submit" value="envoyer"/>
</form>
 
 
<?php>
	//requête et affichage du résultat
$sql="SELECT * FROM lo_message ORDER BY id DESC";
$req = mysql_query($sql) or die('erreur SQL !<br>'.$sql.'<br>'.mysql_error());
while ($data = mysql_fetch_assoc($req))
{
	echo "<strong>".$data['pseudo']."</strong>";
	//effacer message, à paramettrer pour l'admin
	echo '<a href="index.php?suppr=' .$data["id"]. '"> x </a><br/>';
	echo "<p>".$data['message']."</p>";
}
 
print_r($data);
 
mysql_close();
?>
je souhaiterais aussi améliorer par la suite en contrôlant si l'identifiant est dispo en javascript (ou jquery), si l'email rentré est valide et est répertorié dans la base de donnée de la news letter (faut être abonné pour pouvoir laisser un message. là je sèche, tout est aide est la bienvenue.

Merci d'avance pour vos réponse.