Hallo dedlfix,

beim $username hast Du recht. Da muss noch eine kontextgerechte Behandlung hin - entweder prepare oder mysqli_real_escape_string().

Die $txn_id ist hoffentlich vom Code generiert und nicht vom User gelesen.

Die übrigen Daten kommen, wie es aussieht, aus einer anderen DB Abfrage, deswegen erwarte ich, dass sie bereits plausibilisiert und vom Schabernack der Nutzer befreit sind. Deswegen auch meine Forderung nach einer fachlich sinnvollen Typisierung von Datenbankspalten. In eine INT oder DECIMAL Column bekommst Du keine SQL Injection hinein.

Rolf