Sí, podría ser vulnerable, es recomendable que trabajes las comillas a la hora ejecutar tus consultas sql, lee sobre la función mysql_real_escape_string y estudia sobre sql injection.

Saludos!