es inseguro porque no validas lo que el usuario te envia, lo solucionas usando mysql_real_escape_string (tal como belero te indico en un mensaje anterior)