siento revivir este tema aunque no sea tan viejo pero es que no me lo puedo callar, ¿no le va a decir nadie a este pobre chaval que hacer esto:

$token = $_GET["token"];

es una de las mayores locuras?

informate sobre la inyeccion sql

http://php.net/manual/es/security.database.sql-injection.php
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL


adaptate esta funcion de oscommerce y úsala

function tep_db_input($string, $link = 'db_link') {
global $$link;

if (function_exists('mysql_real_escape_string')) {
return mysql_real_escape_string($string, $$link);
} elseif (function_exists('mysql_escape_string')) {
return mysql_escape_string($string);
}

return addslashes($string);
}



ahora solo tienes que hacer lo siguiente:

$token = tep_db_input ( $_GET["token"] );

y ya tienes la web un poco más asegurada, ahora seguro que no te limpian la base de datos sin que te enteres. suerte.