Creo que te faltan las bases de programación. Das por hecho que la entrada del usuario (los datos post) son validos. Deberías verificarlos y escaparlos.