Vous ne nettoyez pas $_POST['id'] .
Faites un intval() dessus, ou (mieux) refuser complètement le traitement si l'ID n'est pas un entier (en supposant que l'ID est un int champ).
if (!is_numeric($_POST['id'])
die ("Invalid ID");
Vous ne nettoyez pas $_POST['id'] .
Faites un intval() dessus, ou (mieux) refuser complètement le traitement si l'ID n'est pas un entier (en supposant que l'ID est un int champ).
if (!is_numeric($_POST['id'])
die ("Invalid ID");
