Bonjour à tous,

je viens souvent sur les forum de developpez.net car je vois qu'ici j'ai des excellentes réponses

Je me pose une question concernant l'injection SQL.

Aujourd'hui je fais mes requêtes comme ceci :

Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
$nom = str_replace("'","(s)",$_POST['nom']);
mysql_query("INSERT INTO table(nom) VALUES ('".$nom."')");
De cette façon, je remplace le single quote par (s).

Le soucis est que lors de l'affichage, je ne dois pas oublier de remplacer (s) par le single quote.

Je voudrais savoir si vous avez une meilleur solution (en utilisant toujours le mysql_query) pour sécuriser l'injection sql.
En remplaçant bêtement le single quote par \' est une bonne solution ?

Code : Sélectionner tout - Visualiser dans une fenêtre à part
$nom = str_replace("'","\'",$_POST['nom']);
merci pour vos réponse