Поищи в гугле на тему sql injection. Вот простой пример, берем твой запрос:
UPDATE list SET statusdb="${statusdb}"
Теперь предположим что $statusdb имеет такое содержимое:
";delete from veryimportanttable where "a"="a
Получаем:
UPDATE list SET statusdb="";delete from very_important_table where "a"="a"
Под "эскейпить переменные" понимается экранирование всех специальных(в данном контексте) символов, что приведет к подобному:
UPDATE list SET statusdb="\";delete from very_important_table where \"a\"=\"a"
Если используем DBI::MySQL, то там все просто - поддерживается prepare с биндом параметров и не нужно заморачиваться с экранированием.