teşekkurler demek istediginizi anladım halen adam oraya sql kodları yazabilir yani dediğiniz gibi kullanıcıdan aldıgım her verıye mysql_real_escape_string ile filitrelemem gerekiyor ?

Örnekteki gibi

@$kullanici=mysql_real_escape_string(addslashes(strip_tags(htmlspecialchars($_POST['kullanici'], ENT_QUOTES)))); 
@$sifre=mysql_real_escape_string(addslashes(strip_tags(htmlspecialchars($_POST['sifre'])))); 
 if(($kullanici=="") or ($sifre=="")){
 ksgirisbos();
 }else{
 @$sifre=md5(md5($sifre)); 
 $sor=mysql_query("select kullanici,sifre from uyeler where kullanici='$kullanici' and sifre='$sifre'");
 if(@mysql_num_rows($sor)>0){