mam pytanie do funkcji mysql_escape_string - czy ktokolwiek jej używa?
czy jeżeli nie będę jej stosował to można mi namieszać w sql?

tak, ja jej używam i jestem bardzo zadowolony gdyż czuję się zabezpieczony przed atakami

jeśli nie będziesz jej używał np. przy logowaniu, to bardzo łatwo ominąć zabezpieczenie. Ogólnie warto zawsze o niej pamiętać (oczywiście można kombinować z innymi funkcjami ale jeśli jest dedykowana funkcja to po co wprowadzać kombinacje?). Poczytaj o mysql injections.

[SQL] pobierz, plaintext 
$sql = "select * from xxx where user = '$login_user'";
$result = mysql_query($sql);
$rezul = mysql_fetch_array($result);
IF(($rezul["user"] == $login_user) && ($rezul["haslo"] == md5($password))):
session_register("user");
[SQL] pobierz, plaintext 

- zmienna login_user oraz password jest przekazywana z formularza - nie korzystam z tej funkcji i nie wiem co mam wpisać w formularzu, żeby to obejść - bo ja nie widzę takiej możliwości?

to moze ktos przyblizy tak najprosciej jak sie da??

Wrzucają się np. znaczniki html'a...

poczytajcie o sqlinjection

To nc innego ja proba ingerencji z pytania sqlowe. Pamietajcie jednak, ze nowy php jest madry i sqlinjection nie jest juz "plagą" taką jak kiedys.

W tej chwili najwiekszy proble z sqlinjction maja programisci tworocy aplikacje na serwery windowsowe. Pod linuxem/unixem emuacja sqlinjection wyglada zupelnie inaczej

@wirtus - a jakiś przykład ? W teorie trudno uwierzyć

wirtus:
1. Co ma system to działania bazy danych ?
2. Jak to "nowe php" ingeruje w zapytanie sql ? (Pomijąjąc to, że go wykonuje)

WTF jest "emu(L?)acja sqlinjection"?