Si tenes:

Select * from tabla where a='<?php $nombre ?>'

Te pueden asignar a la variable

$nombre

Lo siguiente:

' AND '1=1'

Y de esa manera te recuperan todos los registros de la tabla inyectando SQL...

Hay que tener cuidado con extas cosas: Se llama XSS (Cross Site Scripting)

Saludos!!
Un abrazo
Pablo.