Hola
Como poderse se pueden hacer muchas cosas, por ejemplo:
Tenemos el siguiente select:
Código PHP:
$sql = "SELECT * FROM eq_proveedores WHERE PROVEEDOR LIKE '%".$_POST['buscar']."%' ORDER BY PROV_ID";
Supongamos que me monto un form que llama a nuestro script y meto como valor de "buscar" el siguient texto
Código PHP:
$_POS['buscar'] = "' OR 1 OR like '";
Con esto podríamos obtener todos los proveedores, pero hay un gran problema se debe conocer la consulta y por lo general esto no sucede.
De esta misma forma se podría obtener información de las bases de datos y tablas con SHOW DATABASES, pero igualmente debemos conocer la estructura de la consulta y que el código permita desarrollar la consulta modificada..
El mayor problema que podemos tener es que se incluya una comilla simple en nuestra búsqueda con lo que probocaremos un error en la consulta.
Existen muchas funciones para filtrar los parametros mandados por formularios como pueden ser "AddSlashes" y "strip_tags" para evitar algún tipo de código HTML o PHP.