ciauz a tutti

cercando di mettere al sicuro (piu' possibile) i campi di vari form su vari miei siti, volevo chiedere se esiste la possibilita' tramite sql injection di dare piu' istruzioni in un colpo solo.

es.

se io metto:
codice:
SELECT permissionlevel FROM users WHERE username='".$username."' AND password='".$password."'
qualcuno puo' piazzarmi altre istruzioni nel campo password tipo altre select o insert ( VVoVe: ) o UPDATE ( VVoVe: VVoVe: ) o DROP ( VVoVe: VVoVe: VVoVe: ) ???

poi, ho testato i form con le stringhe che ho trovato in qualche documento pdf dove si parlava di rimedi a questo problema, ma il commento -- non mi ha mai funzionato.

devo ritenermi al sicuro o stupido?

grazie