$script = $_SERVER[PATH_TRANSLATED];
O SQL Injection é um ataque que visa
enviar comandos nocivos à base de dados através de campos de formulários
ou através de URLs. Um ataque bem-sucedido pode, por exemplo, apagar
uma tabela do banco, deletar todos os dados da tabela ou até adquirir
senhas que estejam cadastradas.
Veja abaixo um exemplo de vulnerabilidade em um sistema de login:
$usuario = $_POST['usuario'];
$senha = $_POST['senha'];
$sql = "SELECT * FROM usuarios WHERE usuario = '".$usuario."' AND senha = '".$senha."' ";
$processa = mysql_query($sql);
Neste exemplo as variáveis $usuario e $senha recebem conteúdo vindo diretamente de um formulário através do método POST. Imagine que o conteúdo da variável $senha seja ” ‘or 1=’1 “. Se nenhuma validação for realizada, o usuário mal-intencionado terá efetuado login no sistema sem ao menos ter especificado um cadastro válido, devido a uma falha gerada na instrução SQL.
Leia mais http://dicasemgeral.xpg.uol.com.br/dicas-em-geral/programacao-dicas/programacao-web/4394/voce-sabe-o-que-e-sql-injection/