Mmm mucha seguridad no ...
De todas formas ahora se me acaba de ocurrir que te podrían hacer algo como:
'; INSERT INTO clients (username, password) VALUES ('
[email protected]', 'ppp')--
O bien:
'; UPDATE clients SET password='ppp'--
Edito:
Perdón la verdad es que no lei bién los otros Posts y me he ido por las ramas.
Efectivamente, como te dijo Ribon, solucionas, cualquier intento de SQL Injection (mysql_real_escape_string)