Und wie schütze ich mich am besten davor? der Wikipedia artikel hat mir da nicht so sehr viel weitergeholfen.

PHP bietet dafür die Funktion mysql_real_escape_string ...

$res = mysql_query("select * from Mitglieder where Name = '$ben' and Pw = '$pass'");

... und hier sollte sie auf die Variablen angewendet werden.

$num = mysql_num_rows($res);
Ich weiß einfach nicht wie ich die mySQL anweisung in die If schleife einbinden kann!

Naja, mit num_rows bestimmst du die Anzahl der zurückgelieferten Ergebnisse.
Wenn die Anzahl 0 ist, existiert die Benutzer/Passwort - Kombi nicht.
Und das wäre auch schon die if-Bedingung.

Gruß, Volker