Zorg ervoor dat bij het invoegen van teksten die door de bezoeker veranderd zouden kunnen worden, de variable tussen ' staat.
Voorbeeld:
$result=mysql_query("INSERT INTO tabel (id, tekst) VALUES ('','". mysql_real_escape_string($tekst) . "')");
Als je dit niet doet, kan de bezoeker de query aanpassen door zelf een ' in de tekst te zetten en daarachter zelf een nieuwe query te beginnen.