不使用Web应用防火墙可能会导致以下潜在风险：

1. SQL注入攻击：攻击者可以通过构造恶意的SQL查询来绕过输入验证，获取或修改数据库中的敏感信息。

以下是一个简单的示例，展示了未使用Web应用防火墙的情况下，如何容易受到SQL注入攻击：

$userId = $_GET['id']; // 获取用户传入的id参数
$sql = "SELECT * FROM users WHERE id = '$userId'"; // 构造SQL查询语句
$result = mysqli_query($connection, $sql); // 执行查询

如果攻击者传递一个恶意的id参数如 id=1' OR '1'='1，这将导致查询变为 SELECT * FROM users WHERE id = '1' OR '1'='1'，这将返回数据库中的所有用户记录。

2. 跨站脚本攻击（XSS）：攻击者可以在网站中注入恶意脚本，当其他用户访问该页面时，恶意脚本会在用户的浏览器中执行，从而窃取用户的敏感信息。

以下是一个简单的示例，展示了未使用Web应用防火墙的情况下，如何容易受到XSS攻击：

$userInput = $_POST['comment']; // 获取用户输入的评论内容
echo "
".$userInput."
"; // 直接将用户输入的内容输出到页面上

如果攻击者在评论框中输入恶意脚本如 ，该脚本将被执行，并可能窃取用户的敏感信息。

解决这些问题的一种方法是使用Web应用防火墙（WAF）。WAF可以检测和阻止恶意请求，并提供一系列的安全措施来保护Web应用程序免受攻击。