Hi

Du solltest Niemals Werte aus einer vom Benutzer fälschbaren Variable ($_POST, $_GET usw.) direkt in die DB schreiben. Dein Programm wird dadurch anfällig auf SQL Injection.

Mehr Info's hier:

[url]http://de3.php.net/manual/de/security.database.sql-injection.php[/url]