Mam pytanie czy poniższy kod w dużym stopniu zabezpieczy skrypt
przed atakiem sql injection

[PHP] pobierz, plaintext 
<?php
include('connect.php');
 
$kat=$_GET['kat'];
$torba=$_GET['torba'];
 
$torba = mysql_real_escape_string($_GET['torba]);
 
if (! ereg ("[a-z-]$", $_GET['kat'])){
 
$ostrzezenie2='2';
 
 }else{
 
if($kat=='kategoria_a'){
 
   $zapytanie = mysql_query ("SELECT * FROM firmy_towar where kategoria = 'kategoria_a''")
	or die ("Zapytanie niepoprawne");
 
		while ($row = mysql_fetch_array($zapytanie)){
		$id_f[]=$row["id_f"];
		$firma[]=$row["firma"];
		$stoisko[]=$row["stoisko"];
 
		}
 
 
}
 
else if (! ereg ("[a-z-]$", $_GET['$torba]))
 
{
 
$ostrzezenie2='2';
 
 }else{
 
	$zapytanie = mysql_query ("SELECT * FROM firmy_lokalne where kategoria = '$torba'")
	or die ("Zapytanie niepoprawne");
 
		while ($row = mysql_fetch_array($zapytanie)){
		$id_f[]=$row["id_f"];
		$firma[]=$row["firma"];
		$stoisko[]=$row["stoisko"];
 
 
}
	}
 
 
mysql_close($connect);
?>
[PHP] pobierz, plaintext 

W jaki sposób moge zabezpieczyć taki skrypt przed atakiem sql injection?

Temat: SQL Injection Insertion

Nie, zwłaszcza, że skrypt wywali błąd

[PHP] pobierz, plaintext 
<?php
$torba = mysql_real_escape_string($_GET[torba]);
?>
[PHP] pobierz, plaintext 

powinno byc:

[PHP] pobierz, plaintext 
<?php
$torba = mysql_real_escape_string($_GET['torba']);
?>
[PHP] pobierz, plaintext 

//EDIT nie wiedziec czemu w gornym przykladzie forum mi usuwa '

eee... jaka jest różnica pomiędzy dwoma przykładami (oprócz apostrofu, którego brak nie wywala błędów) ?

w górnym przykładzie jest $_GET['torba];, w moim poście mi usuwa apostrof przed "torba", PHP powinien wywalić błąd UNEXPECTED

Jak na samym początku wspomniano, jest już duży wątek traktujący o problemie i tam zapraszam autora.

Ten temat zamykam.