Ciao a tutti
In un sito ho una pagina di ricerca per cui un utente può cercare una risorsa.
Per esempoio può immettere una città per avere informazioni su avvenimenti di quella città
Quindi il suo input sarà:

<input type="text" name="citta">

La query pertanto diventa
$citta=$_POST[''citta];
$query="select * form eventi where citta=$citta";

Mi chiedo può un input dell'utente fare danni immettendo comandi mysql o altro nell'input di ricerca?
Se si cosa devo fare?
Grazie