Oui bien-sûr, n'importe qui peut faire une injection SQL. Pour éviter cela tu dois utiliser une fonction, simple d'utilisation qui est:
mysql_real_escape_string(str, str);
Le premier argument de cette fonction c'est le texte reçu (par exemple ici, str) le deuxième est le texte "transformé" (ici, on garde str, mais tu peux utiliser autre chose).
Rien qu'avec ça, toute tentative d'injection SQL sera inefficace.