Je reinigt $_POST['id'] niet .
Doe een intval() erop, of (beter) de verwerking helemaal weigeren als de ID geen geheel getal is (ervan uitgaande dat ID een int is veld).
if (!is_numeric($_POST['id'])
die ("Invalid ID");
Je reinigt $_POST['id'] niet .
Doe een intval() erop, of (beter) de verwerking helemaal weigeren als de ID geen geheel getal is (ervan uitgaande dat ID een int is veld).
if (!is_numeric($_POST['id'])
die ("Invalid ID");