Ответ обработчика нормальный,но не определяет на какой ид зачислять ,только если подставить нужный ид на примере щас ид 2,так зачисляет:
$msg = trim(substr(trim($_GET['msg']),strlen(''."$prefix".'')));
$id = intval($msg);
$cost_rur = $_GET['cost_rur'];
if(mysql_query("UPDATE `user` SET `money` = `money`+'$cost_rur' WHERE `id_user` = '2' ;")) {
А вот так нет
$msg = trim(substr(trim($_GET['msg']),strlen(''."$prefix".'')));
$id = intval($msg);
$cost_rur = $_GET['cost_rur'];
if(mysql_query("UPDATE `user` SET `money` = `money`+'$cost_rur' WHERE `id_user` = '$id' ;")) {

Что не так?(

боже мой
$msg = trim(substr(trim($_GET['msg']),strlen(''."$prefix".'')));

$msg = trim(substr(trim($_GET['msg']),strlen(''."$prefix".'')));
о да, говнокод.
$msg = mysql_real-escape_string(trim($_GET['msg']));
^^ для текста
--------------------------
$msg = abs(intval($_GET['msg']));

^^для цифр
добавлено спустя 1 минуту:
фильтруй
$cost_rur = $_GET['cost_rur'];

можно занести вредную информацию

Default_mo, на "эх прокатит" надеется не надо. Если по мелочам так закрывать глаза и не делать как надо, то в конец придешь к тому, что г-кодишь....

$sms = htmlspecialchars($_GET['msg']);
$id = explode(" ", $sms);
$id[1] = abs(intval($id[1]));
$cost_rur = abs(intval($_GET['cost_rur']));

if(mysql_query("UPDATE `user` SET `money` = `money`+'$cost_rur' WHERE `id_user` = '$id[1]' ;")) {