codesin dediğini en basit şekilde örnek bir mysql_* sorgusundan anlatayım.

mysql_query("update abc set isim='$isim', soyad='$soyad' burdan sonrası hayal gücüne kalmış' ");

kırmızıyla işaretlediğim ' ile sorguyu kesiyor ve sonrasında canı istediği gibi devam edip istediğini sqle uyguluyor. o yüzden mutlaka güvenlik fonksiyonları kullanmak gerekiyor.