Nie oczyszczasz $_POST['id'] .
Wykonaj intval() na nim lub (lepiej) całkowicie odmówić przetwarzania, jeśli ID nie jest liczbą całkowitą (zakładając, że ID to int pole).
if (!is_numeric($_POST['id'])
die ("Invalid ID");
Nie oczyszczasz $_POST['id'] .
Wykonaj intval() na nim lub (lepiej) całkowicie odmówić przetwarzania, jeśli ID nie jest liczbą całkowitą (zakładając, że ID to int pole).
if (!is_numeric($_POST['id'])
die ("Invalid ID");
