Hallo!

angenommen ich übernehme bestimmte $_GET variablen direkt in eine  mysql Abfrage, kann man dann nicht die Url manuell so verändern, dass man irgendwelche befehle ausführen kann?

Natürlich.
Siehe dclp FAQ: 16.18. Wie kann ich bösartigen Code in SQL-Abfragen unterbinden? und dclp FAQ: 12.11. Prüfe importierte Parameter. Traue niemandem.

Jepp, und ich möchte auch noch http://de3.php.net/manual/de/security.database.php hinzufügen.

Grüße
Andreas