Y te recomiendo usar la función mysql_real_escape_string(variable) para evitar cualquier inyeccion. Así con ese código que has puesto te podrían eliminar todos los archivos de tu web con 2 líneas de código. Protejan sus sitios plz