> merci de la réponse.
>
> j'utilise les vriables superglobals prédéfinies.
>
> Mais si j'utilise $_POST['toto'] pour toto
>
> Qu'est ce qui empeche l'utilisateur de changer une toute autre variable
> que je n'attend pas en entrée en la mettant dans l'url ?
>

Dans ce cas il est fort probable que ton script ne l'utilisera jamais. Avec
register_globals les variables sont passées directement genre $toto, donc si
une personne passe une variable qui est utilisé dans ton script mais qui ne
devait pas être fournit par l'utilisateur ... ça peut créer des problèmes.
Par contre comme il est peut probable que tu utilise le tableau $_POST avec
un clé qui ne devrait pas exister, même si cette clé existe ça ne causera
pas de problème (à moins que tu les initialise à l'aveugle ex:
extract($_POST) qui par défaut créera une série de variables comme
register_globals et écrasera toute variable existante avec le même nom) Il
est possible de faire en sorte que la commande extract() n'écrase pas les
variables existante: extract($_POST, EXTR_SKIP)

http://ca.php.net/manual/fr/function.extract.php

Tiré du manuel:
"N'utilisez pas extract() sur des données inconnues, comme les données
utilisateurs ($_GET, etc). Si vous le faites, par exemple, pour rendre
compatible un vieux code avec register_globals à Off de façon temporaire,
assurez-vous d'utiliser l'une des constantes extract_type qui n'écrasent pas
les valeurs, comme EXTR_SKIP..."

Dae