Você não está limpando
$_POST['id'] . Faça um
intval() nele, ou (melhor) recusar o processamento completamente se o ID não for um inteiro (assumindo que o ID é um int campo). if (!is_numeric($_POST['id'])
die ("Invalid ID");
$_POST['id'] . intval() nele, ou (melhor) recusar o processamento completamente se o ID não for um inteiro (assumindo que o ID é um int campo). if (!is_numeric($_POST['id'])
die ("Invalid ID");
