Mon script pour que les visiteusr proposent des brèves

Général
1

  Bonjour,

J'ai écrit un petit script pour que les visiteurs puissent poster des brèves sur mon site. L'avantage des brèves c'est qu'il n'y a pas de champ auteur ce qui simplifie le problème. L'ajout se fait au moyen d'un formulaire directement dans la base de données.

Le script fonctionne mais je voulais votre avis sur les inconvénients/avantages et éventuellement problèmes de sécurité d'un tel script.

--------

<?php

if (isset($action)) {

// Déclaration des paramètres de connexion
$host = "";
$user = "";
$bdd = "";
$passwd = "";

$table = "spip_breves";

// Connexion au serveur
@mysql_connect($host, $user,$passwd) or die("Impossible de se connecter au serveur");
@mysql_select_db($bdd) or die("Impossible de se connecter à la base de données");

// Creation et envoi de la requete
$query = "INSERT INTO $table (titre,texte,lien_titre,lien_url,statut,id_rubrique,maj,date_heure) VALUES('$titre','$texte','$lien_titre','$lien_url','$statut','$id_rubrique',now(),now())";
$result = mysql_query($query);

// Deconnexion de la base de donnees
mysql_close();

echo ("Votre brève a bien étée postée, Vous devez maintenant attendre qu'elle soit validée. Merci beaucoup pour votre aide");

} else{
// Affichage du formulaire en HTML
?>
<form name="form1" id="form1" method="post" action="<?php echo $PHP_SELF?>">
  <table width="100%" border="0" cellspacing="5" cellpadding="5">
    <tr>
      <td>Titre de la br&egrave;ve</td>
      <td><input name="titre" type="text" id="titre" value="Nouvelle br&egrave;ve" size="40" /></td>
    </tr>
    <tr>
      <td>Texte de la br&egrave;ve</td>
      <td><textarea name="texte" rows="15" cols="40" wrap=soft></textarea></td>
    </tr>
    <tr>
      <td>Nom de la source (si il y a lieu)</td>
      <td><input name="lien_titre" type="text" id="lien_titre" size="40" /></td>
    </tr>
    <tr>
      <td>Lien de la source</td>
      <td><input name="lien_url" type="text" id="lien_url" value="http://" size="40" /></td>
    </tr>
  </table><input name="statut" type="hidden" value="prop" />
  <input name="id_rubrique" type="hidden" value="2" />
<input type="hidden" name="action" value="inserer" />
  <input type="submit" name="Submit" value="Envoyer" />
</form>
<?php
} // Fin du if
?>

--------

Merci d'avance

Sébastien
http://www.essentielpc.com