Moin,

$sqlstatement="SELECT * FROM tabelle WHERE name='$name'";

Wenn $name jetzt folgenden Inhalt hat:
"irgendwas'; DELETE FROM tabelle; #"

dann wird das zusammengebastelt zu:
$sqlstatement="SELECT * FROM tabelle WHERE name='irgendwas'; DELETE FROM tabelle; #'";

Der Fairness halber: Auch wenn es gerne angeführt wird: Dieser Angriff geht mit PHP _nicht_, du fängst dir höchsten einen SQL-Syntax-Fehler ein. Die PHP-Funktionen zum Absetzen einer Query unterstützen das Senden mehrerer Queries mit Semikolon getrennt ausdrücklich nicht.

--
Henryk Plötz
Grüße aus Berlin