kannst du ein konkretes Beispiel nennen?

Annahme, der Dateiname ist folgender:
foo'; DROP TABLE files; SELECT '1

$query = "INSERT INTO files (filename) VALUE ('$_FILES['uploadedfile']['name']')";

Natürlich greifen hier automatische Schutzmaßnahmen - z.B. führt mysql_query() nur ein SQL-Statement aus.