Ok, imaginate que vos tenes un sistema de usuarios, en donde tenes un formulario de logueo y uno de registro.
Un buen dia viene alguien muy molesto y se registra con el nick "jackson666; DROP TABLE usuarios;"
Entonces una vez registrado, va al formulario de logueo y se loguea verdad?
Bien, al hacer click se ejecuta tu script en php y haces una consulta a tu base de datos de esta forma (primero levantas el dato del campo usuario):
Código PHP:
<?php
#valor del campo usuario
$user=$_POST['user'];
#aca te conectas a tu base y demas...
#y en tu consulta
$sql="SELECT * FROM usuarios WHERE usuario='$user'";
#supongamos que aca se ejecuta tu consulta
?>
Si te fijas y reemplazas lo que hay en la variable $user la consulta te queda
Código SQL:
Ver originalSELECT * FROM usuarios WHERE usuario=jackson666; DROP TABLE usuarios;
Haciendote un desastre importante...
Para evitar este tipo de cosas, por ejemplo estan las funciones que te mencione antes