PHP:
$SQL = "SELECT goodies FROM stash WHERE secret='" . str_replace("'",'',$_POST['secret']) . "'";
Злой хакер гения мог ввести SQL в мой ВЫБОР - Как?