Hi!

if (isset($_GET["admin"]) && $_GET["admin"] == "PW"

Das ist sehr unklug. Warum das Passwort per URL übergeben und das noch unverschlüsselt?
Mit dem richtigen URL kommt man also in deinen Adminbereich...

Naja und weiterhin hast du keineswegs umgesetzt, was ich dir ein deinem anderen Thread geschrieben habe.

$_GET[DELETE] ist noch immer falsch. Du benutzt hier noch immer eine undefinierte Konstante.
Je nachdem, wie das error_reporting auf deinem Server eingestellt ist, bekommst du daraufhin eine unschöne Meldung und deine Weiterleitung mittels header() kann nicht mehr funktionieren.

Außerdem ist dein Script immer noch anfällig für einen Angriff mittels SQL-Injection. Wenn deine Datenbank irgendwann mal gekillt wurde, darfst du dich nicht wundern.
Was du dagegen machen kannst, habe ich dir auch bereits geschrieben...

Schöner Gruß,
rob