Забудьте про безопасность на shared-хостинге. Обычно юзер apache/php там един для всех, а, значит, любой скрипт из сотен других аккаунтов на сервере имеет доступ как минимум на чтение ко всем вашим скриптам, включая конфиг с паролем к БД. Продолжать?
Вброс не засчитан.
Описанный mass assignment не имеет отношения к id существующего юзера. Там взлом с использованием id дефолтной группы и кривых рук разработчика.
И что это?
Во-первых, id и так установлен автоинкрементом. Зачем его еще повторно устанавливать?
Во-вторых, здесь сначала узнается id, а потом уже используется для update.
Immortal_pony, Во-первых, это insert с костылем, а не ansi-update.
Во-вторых, id (вернее, первичный ключ) здесь тоже надо знать заранее. Если id автоинкрементный, то вторая часть конструкции бесполезна.