Quote Originariamente inviata da badaze Visualizza il messaggio
Nessun controllo dei dati inviati tramite $_GET. Come hai fatto potrei cancellarti tutti i record.

Penso basterebbe mettere in id 0' or 1=1 -- per cancellare tutti i dati. Ma non sono uno specialista.
Innanzitutto grazie, questa parte m'interessa moltissimo!

Vediamo se ho capito bene:
Chiunque può accedere alla pagina, e fin qui ok, ma gli input, sono solo 2, o da Aggiungi, ovvero quando si inserisce qualcosa, o dal pulsante delete.
Come potrebbe un esterno accedere direttamente al database?
Intendi direttamente dalla barra degli indirizzi?