я заметил что ты используешь mysql_query для выполнения различных запросов, вставляя какие-либо данные от пользователя в строку запроса. Например:
mysqli_query($connection, "DELETE FROM comments WHERE comments.id = $id");
в подобных местах можно выполнить sql-injection!
я заметил что ты используешь mysql_query для выполнения различных запросов, вставляя какие-либо данные от пользователя в строку запроса. Например: mysqli_query($connection, "DELETE FROM
comments
WHEREcomments
.id
= $id"); в подобных местах можно выполнить sql-injection!Используй PDO (https://www.php.net/manual/ru/book.pdo.php) и параметризованные запросы (https://www.php.net/manual/ru/pdo.prepared-statements.php)
О параметризованных запросах ты можешь почитать в гугле