en la misma pagina de PHP te lo explican con ejemplos,
mysql_real_escape_string
Example #2 Un ejemplo de un ataque de inyección SQL
Código PHP:
<?php
// Consultar la base de datos para verificar si hay una coincidencia de usuario
$consulta = "SELECT * FROM usuarios WHERE usuario='{$_POST['username']}' AND password='{$_POST['password']}'";
mysql_query($consulta);
// No revisamos $_POST['password'], ¡podría ser cualquier cosa que el usuario
// quiera! Por ejemplo:
$_POST['username'] = 'aidan';
$_POST['password'] = "' OR ''='";
// Esto quiere decir que la consulta enviada a MySQL sería:
echo $consulta;
?>
La consulta enviada a MySQL:
SELECT * FROM usuarios WHERE usuario='aidan' AND password='' OR ''=''
Esto permitiría que cualquiera iniciara una sesión sin una contraseña válida.
Saludos
