Qualquer operador pode ser injetado sem vinculação.
$_POST['search'] = "1%'; DROP TABLE myTable LIKE '%";
Faria
.... AND tags,title,text LIKE '%1%'; DROP TABLE myTable LIKE '%%'
Leia sobre como vincular parâmetros .
$_POST['search'] = "1%'; DROP TABLE myTable LIKE '%";
.... AND tags,title,text LIKE '%1%'; DROP TABLE myTable LIKE '%%'
