te sugiero busques en Internet: SQL Injection

es un tema algo amplio, bien conocido... pero ciertamente el uso de un centenar de funciones no deja que el verdadero conocimiento se afirme...

porque en realidad es algo muy sencillo: la posibilidad de que nuestro SQL resulte corrupto y se ejecuten o introduzcan valores indebidos...

hay muchas formas de corromperlo, si no somos precavidos no solo al recibir las variables, no solo al tratarlas, inclusive, desde el momento en que no pensamos que sea posible por ser simple..

"...el error mas común es pensar que el error mas común no se va a dar..."

si pides un dato numérico para cualquier fin, que así sea... un e-mail, filtralo... ¿un nick??

etc, etc... supongo que investigando y leyendo aprenderás mas, suerte!!