Hallo Michaela,

ich überprüfe eine Formulareingabe in einer MySQl-Abfrage mit

...
WHERE
     aos_aerzte.name = '".$_POST["user"]."'
     AND aos_aerzte.pass = '".$_POST["pass"]."'
...

bist Du Dir im klaren darüber, was passiert, wenn ein user als Name folgendes angibt:

ich_bin_ein_gangster';delete * from aos_aerzte;...

Ich bin natürlich davon ausgegangen, dass Du den Usernamen nicht schon auf den Client durch JavaScript auf unzulässige Zeichen geprüft hast, das würde Dir auch bei Böswilligen nichts nützen. Stichwort: Seite nachbauen und Form von da abschicken.