発生する可能性のある少なくとも 2 つの方法: 同じフォームに同じ名前の別のフィールドがある場合、または両方のフィールドの値が送信されます。また、SELECT タグに MULTIPLE 属性があった場合は、その時点で複数の値が送信された可能性があります。（ただし、これらの両方の例で、複数の値が同じデータベース値に連結される方法は、この回答の範囲を超えています...）

どうすればそれが可能かというと、ユーザーがブラウザー内から選択ボックスのオプションを変更するのは非常に簡単です。開発ツールを開いて編集するだけの場合。

また、ハッカーが HTML フォームを使用せずに、完全にでっち上げのデータをサイトに投稿する可能性もあります。

ブラウザからのデータが有効であるとは決して信じてはなりません。サーバーに到達したら、DB に保存するか、それ以外のことを行う前に、必ず再度検証してください。