je pense que vous n'avez pas bien cerné mon "probleme", je me suis probablement mal expliqué....
1) le script de création/modification d'un produit est un script de la partie Admin, qui se nomme produit_modifier.php,
2) la toute première ligne de code de ce fichier est : include("pre.php"),
3) l'édition de ce fichier pre.php montre clairement que ce sont les valeurs de $_GET et $_POST qui sont récupérées,
4) donc la solution proposée ci-dessus est tout à fait oppérante (enfin au moins sur mes différents serveurs de test).
l'utilisation de htmlentities est une autre solution je le reconnais, je rajouterais juste un détail, cette fonction convertit (par défaut) seulement les guillemets doubles, pour avoir les simples en plus, il faut lui passer un argument optionnel (ENT_QUOTES)...
enfin pour ce qui est des $_REQUEST, et leurs utilisation dans des conditions "cadrées", là c'est moi qui ne vous comprends pas
en effet, on peut voir dans moteur.php par exemple:
if(!isset($_REQUEST['prenom'])) $prenom=""; else $prenom=$_REQUEST['prenom'];
or, ici, moi je comprend : si la variable prenom n'est pas passée en GET ou en POST (donc dans la REQUEST qui englobe en fait toutes les méthode de transmission) alors elle est initialisée à null, sinon $prenom prend la valeur passée....
la seule différence que je vois ici avec l'utilisation du REQUEST est la simplification du code (une ligne au lieu de deux)... par contre aucun test des valeurs passées.... donc toujours possibilité d'erreur....
je suis peut-être un peu "lourd" avec mes histoires de magic_quotes et de test des valeurs passées par les formulaires, mais je pense qu'un script dont le but est de gérer une boutique en ligne avec options de commande, paiement.... doit être un minimum sécurisé.... et la sécurité passe (à mon avis) d'abord par la maitrise de tout ce qui se passe.....
voila, désolé pour ce long commentaire mais ce n'est pas en faisant de la désinformation qu'on fait évoluer un projet...
steph