knoot0279, всегда нужно экранировать получены данные перед запросом в базу. mysql_real_escape_string()
------------ Дoбавленo в 18.39:
В таком виде это дыра в безопасности, можно что угодно сделать с базой, а с неверными настройками и правами ещё и с сервером.