Nedezinfikujete $_POST['id']
.
Proveďte intval()
na něm, nebo (lépe) odmítnout zpracování úplně, pokud ID není celé číslo (za předpokladu, že ID je int
pole).
if (!is_numeric($_POST['id'])
die ("Invalid ID");
Nedezinfikujete $_POST['id']
.
Proveďte intval()
na něm, nebo (lépe) odmítnout zpracování úplně, pokud ID není celé číslo (za předpokladu, že ID je int
pole).
if (!is_numeric($_POST['id'])
die ("Invalid ID");