Zoek eens naar mysql injecties Vind je wel meer informatie over hetgeen wat jij wil weten.

NOOIT USER INPUT VERTROUWEN!!!

Daar komt het op neer...
Ga er altijd van uit dat je leden alleen het slechtste met je voor hebben...
Dus als je user input in een query wilt stoppen moet je deze escapen om te zorgen dat de query onschadelijk is...
mysql_real_escape_string() (houd rekening met je character set), mysql_escape_string() en addslashes() zijn hier voorbeelden van...

Het zet backslashes voor karakters die een betekenis hebben in een query...
Hoe het in je database komt te staan zal niet anders zijn dan waarmee je begon (dat is als je niet opeens besluit meerdere functies te gebruiken die het zelfde doen, dan krijg je leuke backslashes in de naam)

Als je normaal een SQL query had die er bijvoorbeeld als volgt uit zou zien:
SELECT id FROM klanten WHERE code = '{USERINPUT}'
Zou je gewoon {USERINPUT} kunnen vervangen door 1' AND code = '2. Dat betekent dat er nooit een query wordt uitgevoerd en mogelijk wel andere, zodat je bijvoorbeeld meer geld op je bankrekening zou kunnen krijgen. 2 Eén kolom kunnen immers maar één waarde bevatten.

Zou je het echter beveiligen, dan werd 1' AND code = '2 vervangen door 1\' AND code = \'2, wat zou betekenen dat je SQL server het als 1 waarde leest. Denk eraan dat SQL niet weet wat PHP is, en kan dat dus ook niet zelf beveiligen!