Bonjour et merci d'abord e vous intéresser à moi ^^,

Voilà, je me pose une question, imaginons qu'on a un formulaire php avec une requête sql dans la page cible, tous ce qui à de plus normal:

Formulaire:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
 
<html>
<head>
</head>
<body>
<form action="cible.php" method="post">
<p>Mot de passe : <input type="text" size="30" name="mdp" value="" /></p>
    <input type="submit" value="Envoyer" />
</form>
</body>
</html>
Page cible:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 
<html>
<head>
</head>
<body>
<?php
$base = mysql_connect ('localhost', 'root', '');
mysql_select_db ('site', $base);
// on teste si le visiteur a rentrer un mdp
if (isset($_POST['mdp'])) 
{
        $mdp = mysql_escape_string(addslashes($_POST['mdp']));
	$sql = "INSERT INTO site_utilisateurs VALUES('', $mdp)";
	mysql_query($sql) or die('Erreur SQL !'.$sql.'<br />'.mysql_error());
}
</body>
</html>
Voilà j'ai protégé mes variables et tous et tous. Mais qu'est ce qui empêche une personne mal intentionné de faire un script php qu'il met sur son serveur mais qui utilise ma page cible ? :

Formulaire hackeur:
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
 
<html>
<head>
</head>
<body>
<form action="http://www.sitehacker.com/cible.php" method="post">
<p>Mot de passe : <input type="text" size="30" name="mdp" value="" /></p>
    <input type="submit" value="Envoyer" />
</form>
</body>
</html>
Parce que à ce moment la tout le monde fait ce qu'il veut avec ma page cible, non ?

Merci encore