Du sanerar inte $_POST['id'] .
Gör ett intval() på den, eller (bättre) vägra bearbetning helt och hållet om ID:t inte är ett heltal (förutsatt att ID är en int fält).
if (!is_numeric($_POST['id'])
die ("Invalid ID");
Du sanerar inte $_POST['id'] .
Gör ett intval() på den, eller (bättre) vägra bearbetning helt och hållet om ID:t inte är ett heltal (förutsatt att ID är en int fält).
if (!is_numeric($_POST['id'])
die ("Invalid ID");