Evet bu bir açık, veriyi direkt sorguya atamayın önce sanitize(sterilize) edin, mysqli mi kullanıyorsunuz?