@bro2ch, mysql_query не фильтрует входные данные, поэтому может быть SQL Injection, а также, возможно, XSS, если данные будут выводиться на страницу без htmlspecialchars.