http://wakusan.com/programinng_PHP/db_bbs.htm

//ページから書き込みを受け取ります。
$text = $_POST["text"];
$name = $_POST["name"];

if(($text != "") and ($name != "")){ //新規データが空でない（つまり有る）ならば

	$sql = 'INSERT INTO `bbs` (`no`, `name`, `text`) VALUES (\'\', \''.$name.'\', \''.$text.'\')';
	mysql_query( $sql );
	//bbsにデータを追加しなさい。というSQL文
}

実際問題としてはMySQLのバージョンにもよると思いますが，一般的な話のSQL Injectionです．

$res = mysql_query( $sql );//SQL文を発行する

while ( $row = mysql_fetch_array($res)){ //最後のデータになるまで繰返し

   	echo "<HR>"; 									// 線を引く
   	echo $row[no]."【".$row["name"]."】：".$row["text"]; 	//【名前】：文章で出力
   
}

XSSです．

それではお疲れ様でした．