Hallo!

Wenn die Variablen ungeprüft aus URL- oder POST-Parametern kommen, ist das ein wunderschöner Angriffsvektor für SQL Injection. Benutze parametrisierte SQL-Statements...

1.) Sollte register_globals off sein und damit können die verwendetn Variablen nicht direkt auf den POST-Variableninhalt zugreifen sondern man müsste ihnen "per Hand" den POST-Variableninhalt liefern was
2.) in seinem kurzen Beispiel nicht der Fall war.

Aber du hast natürlich recht :)
Ich hätte eigentlich schon mysql_escape_string() im Codeausschnitt verwenden können / sollen.