Внедрение SQL - действительно ли этот (острота) безопасно?

PHP:

$SQL = "SELECT goodies FROM stash WHERE secret='" .  
    str_replace("'",'',$_POST['secret']) .  
"'";  

Злой хакер гения мог ввести SQL в мой ВЫБОР - Как?