Il n'y a rien dans ce bout de code qui vous protège contre une injection SQL. Regardez plutôt du côté de pg_prepare() et pg_execute() (http://php.net/manual/en/function.pg-prepare.php).
]]>$dbconn = pg_connect("host=**** port=*** dbname=***user=**** password=****") or die('Connexion impossible : ' . pg_last_error());
$type = 'table';
$description = 'texte essai table';
$photo = 'table.jpg';
$afficher = '1';
$query = "INSERT INTO promotion (type, description, photo, afficher) VALUES('".$type."','".$description."', '".$photo."', '".$afficher."')";
if (pg_query($dbconn,$query))
echo "Données enregistrées";
else
echo "Erreur";
Merci de vos retours.
]]>