-
Twój kod jest podatny na wstrzyknięcie SQL.
-
Używasz przestarzałego interfejsu API, który nie obsługuje przygotowanych instrukcji, aby zapobiec wstrzyknięciu SQL
-
Możesz połączyć swoją
UPDATE
iSELECT
w jedno oświadczenie. Oto pomysł -
Twoje odliczenie powinno być oparte na bazie danych, a nie na wartości
UPDATE tbl UPDATE col = col - 1