Уязвимость: SQL-инъекция. Вставка пользовательского ввода напрямую в строку запроса позволяет злоумышленнику подставить часть SQL (например, name='\' OR \'1\'=\'1'), что приведёт к чтению/изменению данных.

Рекомендации и безопасная реализация:
1) Использовать подготовленные выражения (parameterized queries) и привязку параметров.
2) Установить правильную кодировку соединения (utf8mb4).
3) Применять принцип минимума прав для БД-пользователя и валидацию/ограничение входных данных по необходимости.

Примеры.

PDO (рекомендуется):
$db->setAttribute(PDO::ATTR_EMULATE_PREPARES, false);
$db->exec("SET NAMES utf8mb4");
$stmt=$db->prepare("SELECT * FROM users WHERE name = :name");
$stmt->execute([':name' => $_GET['name']]);
$rows = $stmt->fetchAll(PDO::FETCH_ASSOC);

mysqli:
$db->set_charset('utf8mb4');
$stmt=$db->prepare("SELECT * FROM users WHERE name = ?");
$stmt->bind_param('s', $_GET['name']);
$stmt->execute();
$result=$stmt->get_result();
$rows=$result->fetch_all(MYSQLI_ASSOC);

(Менее предпочтительно) экранирование:
$name=$db->real_escape_string(${}_{G}ET{[}^{\prime }nam{e}^{\prime }]);$q = "SELECT * FROM users WHERE name = '$name'";
— экранирование корректно только при надлежащей кодировке и не даёт преимуществ подготовленных выражений.

Коротко: замените конкатенацию строки запроса на подготовленные выражения с привязанными параметрами и настройте кодировку и права доступа.