Ganz oben in einem Skript schreibt man immer aber auch wirklich immer beim Programmieren:

error_reporting(E_ALL);

PHP schreit nach Hilfe du hörst aber nicht zu.

Bei MYSQL abfragen verwendet man immer or die(mysql_error()); Während der Entwicklung.

Wenn das Skript das macht was man möchte, dann gilt, alle Fehler ausgaben rauszunehmen.
Also PHP Fehler und ganz wichtig MYSQL Fehler.
Fehlermeldungen machen es dem event. Angreifer einfacher deine Datenbank Struktur zu verstehen.

Alle Meldungen/ Fehler usw sollten beseitigt werden.

Prüfe alle eingaben eines Users auf Logik und escape diese.

Man schreibt niemals SELECT * FROM ...

Sondern selectiere die Felder die du haben möchtest.

Das erhöht die Lesbarkeit und die Performance wenn man nicht wirklich alle Spalten haben möchte.