Вы можете попробовать ввести Robert'); DROP TABLE students; -- в форме:)
В приведенном выше xkcd карикатуре Бобби, вероятно, попросили ввести свое имя в форму, но он злонамеренно вставил Robert'); DROP TABLE students; -- в качестве своего имени. Теперь представьте, был ли этот ввод использован в этом запросе:
SELECT * FROM students WHERE name = '$input'
Как видите, если мы заменим $input на то, что ввел Бобби, вы получите это
SELECT * FROM students WHERE name = 'Robert'); DROP TABLE students; --'
Это две очень правильные команды SQL и комментарий.
Возможно, вы также захотите исследовать ранее Вопросы о переполнении стека в SQL-инъекции .