No es que JAMAS lo haga, depende de la configuración del my.cnf si se habilita o no el uso de multiqueries en la libreria, por eso no te debes de fiar. Adicionalmente podrian hacer algo como:
Eso les brindaría acceso ya que hace que la query sea como:
Código sql:
Ver originalSELECT * FROM 'users' WHERE 'username' = '$_POST[user]' AND 'password' = '' OR 1=1 OR 'foo'
Saludos.