Hallo,

bist Du Dir im klaren darüber, was passiert, wenn ein user als Name folgendes angibt:
ich_bin_ein_gangster';delete * from aos_aerzte;...

es wird garnichts passieren: mysql_query arbeitet nur einen Query ab, alles was nach dem ; kommt wird ignoriert - Zumal dein DELETE-Syntax sowieso falsch ist - DELETE erwartet keine Angabe der Spalten.

Ich bin natürlich davon ausgegangen, dass Du den Usernamen nicht schon auf den Client durch JavaScript auf unzulässige Zeichen geprüft hast,

das ist egal - Daten die vom User kommen dürfen _nie_ ohne serverseitige Prüfung verwendet werden.

Grüße aus Nürnberg
Tobias