-
Вашият код е уязвим към SQL инжектиране.
-
Използвате остарял API, който не поддържа подготвени изрази за предотвратяване на SQL инжектиране
-
Можете да комбинирате вашата
UPDATE
иSELECT
в едно изявление. Ето една идея -
Вашето приспадане трябва да се базира на база данни, а не на стойност
UPDATE tbl UPDATE col = col - 1