$_POST['id']をサニタイズしていません 。
intval()を実行します その上で、または(より良い)IDが整数でない場合は処理を完全に拒否します(IDがintであると仮定します) フィールド)。
if (!is_numeric($_POST['id'])
die ("Invalid ID");
$_POST['id']をサニタイズしていません 。
intval()を実行します その上で、または(より良い)IDが整数でない場合は処理を完全に拒否します(IDがintであると仮定します) フィールド)。
if (!is_numeric($_POST['id'])
die ("Invalid ID");