tu problema es recibir el member_id por medio de un POST, siempre puede ser modificado, lo mejor esque como ya lo tienes en la session lo utilices directamente desde esta, así nadie podrá cambiarlo

es decir
$member_id = $_SESSION["REQUEST_MEMBER_ID"];

otra cosa, intenta validar los datos recibidos por medio del POST, pues según el codigo que acabas de enseñar, un SQL-INJECTION es suma mente fácil.