Anche l'sql injection funzionerebbe benissimo col codice che hai postato

Mi auguro non sia per un sito "serio"...