[MySQL] Eviter les failles XSS et les injections SQL

Eviter les failles XSS et les injections SQL

Bonjour,

Afin de se connecter les utilisateurs entrent un identifiant et un mot de passe.

1 - Lors de la récupération sur la page suivante (de vérification), le code suivant suffit t-il à éviter les failles XSS et les injections SQL ?
Code:

1 2 3 $id = mysql_real_escape_string(htmlentities($_POST['id'], ENT_QUOTES, 'ISO-8859-1')); $mdp = mysql_real_escape_string(htmlentities($_POST['mdp'], ENT_QUOTES, 'ISO-8859-1'));
2 - Connaissez vous d'autres failles auxquelles je dois faire attention ?

Merci !

Il ne faut pas coupler les deux, ils n'interviennent pas pour la même chose.

htmlentities s'utilise pour afficher une donnée.
mysql_real_escape_string s'utilise pour placer des données dans une requête.

Merci !