in deiner umbuchen.php die zeile kontobuchung ersetzten mit :

PHP-Code:
db_query("UPDATE ".$db_prefix."_kontodaten SET `kontostand` = `kontostand` - ".$_POST['ueberweisung']." WHERE uid=".$_SESSION['uid']); 
dann ist punkt 1 behoben

solltest du deine auszahlen.php noch nicht geändert haben solltest du auch dort die kontobuchung mit dem query ersetzten damit deine user keine bonuslose auszahlen können