Nedezinfikujete $_POST['id'] .
Proveďte intval() na něm, nebo (lépe) odmítnout zpracování úplně, pokud ID není celé číslo (za předpokladu, že ID je int pole).
if (!is_numeric($_POST['id'])
die ("Invalid ID");
Nedezinfikujete $_POST['id'] .
Proveďte intval() na něm, nebo (lépe) odmítnout zpracování úplně, pokud ID není celé číslo (za předpokladu, že ID je int pole).
if (!is_numeric($_POST['id'])
die ("Invalid ID");