Если вы поместите значения в базу данных, вам придется беспокоиться об SQL-инъекции. Если вы не используете параметризованные запросы, у вас могут возникнуть серьезные проблемы с SQL-инъекцией, и перенос значений в базу данных может быть плохой идеей из-за увеличенной поверхности атаки. В MySQL SQL-инъекция может использоваться для чтения файлов, таких как val.php, убедитесь, что ваше веб-приложение не имеет привилегий «FILE». Вы также должны убедиться, что ваши права правильно настроены для этого файла. chmod 750 - хороший файл, последний номер 0 запрещает доступ всем, кто не принадлежит вам или вашей группе.
сохраняя значения в val.php, вы все равно должны беспокоиться об уязвимостях обхода каталога, таких как:
print file_get_contents("/var/www/whatever/".$_GET['FILE_NAME']);
Пройдите свой код и обратите внимание на то, где вы читаете и записываете файлы. Убедитесь, что вы не передаете переменные управления пользователем. Если вы хотите получить защиту от атак злоумышленников на PHP и узнать, как можно читать файлы, я рекомендую прочитать A Study In Scarlet .