Mmm mucha seguridad no ...

De todas formas ahora se me acaba de ocurrir que te podrían hacer algo como:

'; INSERT INTO clients (username, password) VALUES ('ppp@ppp.com', 'ppp')--

O bien:

'; UPDATE clients SET password='ppp'--

Edito:
Perdón la verdad es que no lei bién los otros Posts y me he ido por las ramas.
Efectivamente, como te dijo Ribon, solucionas, cualquier intento de SQL Injection (mysql_real_escape_string)