como dice tkzexe es una injeccion sql que ataca las bd
prueba esto:
$param = mysql_real_escape_string($param);
ejemplo:
Código PHP:
$param = mysql_real_escape_string($param);
$SQL = "SELECT * FROM username WHERE username = '".$param."'";
echo 'nombre: '.stripslashes($nombre);
prueba...