Originariamente inviato da boots
...
Perchè se io ho ad esempio
$query = "SELECT * FROM table WHERE id=". $id;
ed qualcuno passa come $id = "1; Delete from table;"
Anche se la passi a mysql_real_escape, otterrai sempre

$query = "SELECT * FROM table WHERE id=1; DELETE from table;"
Che sono due query sql.
...
Il che però non è un problema visto che mysql_query() può eseguire una sola query.