Moin,
$sqlstatement="SELECT * FROM tabelle WHERE name='$name'";
Wenn $name jetzt folgenden Inhalt hat:
"irgendwas'; DELETE FROM tabelle; #"
dann wird das zusammengebastelt zu:
$sqlstatement="SELECT * FROM tabelle WHERE name='irgendwas'; DELETE FROM tabelle; #'";
Der Fairness halber: Auch wenn es gerne angeführt wird: Dieser Angriff geht mit PHP _nicht_, du fängst dir höchsten einen SQL-Syntax-Fehler ein. Die PHP-Funktionen zum Absetzen einer Query unterstützen das Senden mehrerer Queries mit Semikolon getrennt ausdrücklich nicht.
--
Henryk Plötz
Grüße aus Berlin