hi,

u.U. kann es passieren, das dir einer ein "DELETE FROM tabellenname" mitreinschmuggelt und dir damit eben die Tabelle löscht (was aber idR nicht funktionieren wird, da du INSERT schon fest angegeben hast, und mysql_query() keine zwei Querys ausführen kann).

selbst wenn dieser fall zugegebenermaßen relativ unwahrscheinlich ist - es gibt andere fiese fallen.

mal angenommen, du machst einen SELECT, in dem du prüfen wilst, ob das angebene passwort zum usernamen passt, also hast du eine WHERE-bedingung in der art "... WHERE passwort = '$passwort'".

wenn du jetzt das vom user eingegebene passwort ungeprüft in deine query übernimmst, dann gebe ich z.b. >blah ' OR 1 OR 'x< als passwort ein, und schon sieht deine query so aus:
... WHERE passwort = 'blah' OR 1 OR 'x'"
OR 1 sorgt dafür, dass die bedingung _immer_ wahr ist, d.h. ich brauche das passwort gar nicht mehr kennen, um mich einloggen zu können ...

gruss,
wahsaga