$sql=sprintf("SELECT * FROM clientes WHERE nombre='%s' " ,mysql_real_escape_string($_POST['nombre']) );

mysql_query($sql);

mejor seria asi

y chico3001 tiene razon no hay nada seguro en estos tiempos que corren.