duda con mysql_query("SET CHARACTER SET utf8");

maestros.

estoy aprendiendo programar web service en android y sale esta implementacion simple.
la idea es simple el dispositivo android manda una query a esta server webservice.

tiene un gran fallo de seguridad alguien puede mandar un delete y adios bd , me gustaria modificarlo pero no entiendo en particular esto:

mysql_query("SET CHARACTER SET utf8");
$query = file_get_contents("php://input");
$sth = mysql_query($query);

gracias.



ejemplo completo.


<?

$databasehost = "localhost";
$databasename = "xxxx";
$databaseusername ="xxxx";
$databasepassword = "xxxx";

$con = mysql_connect($databasehost,$databaseusername,$dat abasepassword) or die(mysql_error());
mysql_select_db($databasename) or die(mysql_error());



mysql_query("SET CHARACTER SET utf8");
$query = file_get_contents("php://input");
$sth = mysql_query($query);

if (mysql_errno()) {
header("HTTP/1.1 500 Internal Server Error");
echo $query.'\n';
echo mysql_error();
}
else
{
$rows = array();
while($r = mysql_fetch_assoc($sth)) {
$rows[] = $r;
}
print json_encode($rows);
}
?>

Y la pregunta es?

Dejando de lado eso, ¿Cómo se te ocurre enviar una query como parámetro? Generalmente este tipo de servicios solo envían unos cuantos parámetros, que se validan en el servidor para que no te hagan injection, y hasta muchas veces encriptados para dificultar la lectura de un cliente malicioso.

lo q sucede es que estoy aprendiendo el tema y el primer ejemplo claro que veo , entiendo las posibilidades de riesgo , pero solo estoy explorando el tema.

Saludos