maestros.

estoy aprendiendo programar web service en android y sale esta implementacion simple.
la idea es simple el dispositivo android manda una query a esta server webservice.

tiene un gran fallo de seguridad alguien puede mandar un delete y adios bd , me gustaria modificarlo pero no entiendo en particular esto:

mysql_query("SET CHARACTER SET utf8");
$query = file_get_contents("php://input");
$sth = mysql_query($query);

gracias.



ejemplo completo.


<?

$databasehost = "localhost";
$databasename = "xxxx";
$databaseusername ="xxxx";
$databasepassword = "xxxx";

$con = mysql_connect($databasehost,$databaseusername,$dat abasepassword) or die(mysql_error());
mysql_select_db($databasename) or die(mysql_error());



mysql_query("SET CHARACTER SET utf8");
$query = file_get_contents("php://input");
$sth = mysql_query($query);

if (mysql_errno()) {
header("HTTP/1.1 500 Internal Server Error");
echo $query.'\n';
echo mysql_error();
}
else
{
$rows = array();
while($r = mysql_fetch_assoc($sth)) {
$rows[] = $r;
}
print json_encode($rows);
}
?>