La ejecución de SQL MÚLTIPLE no está habilitada de forma predeterminada.
Entonces SQL Injection como ;drop table
no funcionará habilite la ejecución múltiple de sql. esto podría habilitarse como http://php.net/manual/ es/mysqli.quickstart.multiple-statement.php
si está utilizando mysqli.
La inyección SQL útil es:
SELECT COUNT(*) FROM users
WHERE user_id = '$user_id' AND passwd = '$passwd'
y el usuario inserta passwd
a ' || '1' = '1
.