Protection requête préparé ??

Normalement avec PDO, tu peux utiliser bindParam, bindValue et bindColumn qui fait tout ça.

merci de ta réponse, cependant j'ai rechercher ce que tu m'as dit mais je n'ai toujours pas compris comment je peux faire pour protéger mon bout de code.

Comme tu peux le constater mes données arrive dans un tableau, c'est ce qui me pose problème pour faire un bind, je sais pas comment m'y prendre.

$tabs = array("nom" =>$_POST"nom"], "prenom" =>$_POST"prenom"], "email" =>$_POST"email"], "objet"=>$_POST"objet"],
                        "message" =>$_POST"message"], "societe" =>$_POST"societe"], "dateday" =>date("d/m/y"));

        //permet de recuperer les valeurs du tableaux sous forme de variables (ex: $nom)
        extract($tabs);

        $req = $DB->prepare('INSERT INTO contact (id,nom,prenom,email,societe,objet,message,date) VALUE (null, :nom, :prenom, :email, :societe, :objet, :message, :dateday);');

        //on echappe chaque valeur suivant son type donc repetes la ligne pour toutes les variables
        $req->bindParam(':nom', $nom, PDO::PARAM_STR);

        $req->execute($tabs);

http://php.net/manual/en/pdostatement.bindparam.php

D'accord je te remercie de ton aide,

j'ai encore une petite question auquel tu pourrais m'éclairer peut être
pourquoi tu utilise bindParam et non pas bindValue ? quelle est la différence ?stp

merci encore

De toi a moi je suis nouveau avec PDO mai voila ce que j'ai trouvé:
http://stackoverflow.com/questions/1179874/pdo-bindparam-versus-bindvalue
Avec ce lien tu comprendras mieux:
http://stackoverflow.com/questions/5077074/whats-the-difference-between-pdostatement-bindparam-and-pdostatement-bindva
Bonne chance

Peut etre peux tu m'aider pour mon post sur les regexp:
http://www.grafikart.fr/forum/topic/6731

D'accord merci de ton aide.

je vais regarder concernant ton sujet