Вот это проблемное место где дыра:
$search = $_GET['id'];
$req = mysql_query("SELECT * FROM `users` WHERE `id` = '$user_id' LIMIT 1");
$user = mysql_fetch_assoc($req);
$balls = $user['balans'] - 100;Как сделать это безопасным, пример кодом, или я не здесь дыру исчу?