No estás desinfectando $_POST['id'] .
Haz un intval() en él, o (mejor) rechazar el procesamiento por completo si la ID no es un número entero (suponiendo que la ID sea un int campo).
if (!is_numeric($_POST['id'])
die ("Invalid ID");
No estás desinfectando $_POST['id'] .
Haz un intval() en él, o (mejor) rechazar el procesamiento por completo si la ID no es un número entero (suponiendo que la ID sea un int campo).
if (!is_numeric($_POST['id'])
die ("Invalid ID");
