Sup!

Wenn Du aus den Eingabeparametern die ' nicht rausgefiltert hast, kann der Angreifer je nach DB alles mögliche getan haben.

http://www.nextgenss.com/papers/advanced_sql_injection.pdf

Beim MS-SQL-Server oder einem Server, der die Fehler auf STDOUT schreibt, kann er z.B. Dein Datenbanklayout rausbekommen haben, oder die Verzeichnisstruktur auf dem Server, ggf. konnte er auch einen neuen User anlegen... es ist vieles denkbar.
Wenn das Skript als DB-Administrator oder DB-Superuser läuft, dann könnte der Angreifer ggf. ganze Tabellen oder die ganze DB löschen.

Gruesse,

Bio