Vinzenz,
du hast recht das sein Datenbankzugriff so nicht in Ordnung ist, er muss mittels:

  
$update = mysql_real_escape_string(nl2br($_POST['text']));  

abgesichert werden. Allerdings bringt ihm die Kritik alleine nicht viel weiter.

Zum Verständnis:
Tauchen in der Abfrage ( ' ) diese Anführungszeichen auf wird damit der Kontext verlassen und man kann einfach noch was einfügen. Alle Daten die nicht aus absolut sicherer Quelle kommen (und das sind fast keine) sollten mit dieser Funktion "escaped" werden. Dabei werden die ( ' ) durch ( ' ) ersetzt. Für den mySQL-Server ist nun klar das es sich um das Zeichen und nicht um ein Anführungszeichen für den Befehl handelt.

Was das weg-x-en von Tabellennamen und Co angeht muss ich dir allerdings voll kommen rechtgeben. Bringt niemanden was.

Gruß

Frank