me parece, me parece que
Código PHP:
$datos = "$_GET[variable1],$_GET[variable2]";
mysql_real_escape_string($datos);
no es correcto pq $datos no quedaria segura de injection, algo asi si:
Código PHP:
$datos = "$_GET[variable1],$_GET[variable2]";
$datos = mysql_real_escape_string($datos);
igual te aconsejo que hagas algo como esto:
Código PHP:
$sql = sprintf("SELECT *
FROM tabla
WHERE campo = '%s' and campo2 = '%s' "
,mysql_real_escape_string( $variable1 , $conexion )
,mysql_real_escape_string( $variable2 , $conexion )
);
sprintf va a reemplazar los '%s' con los valores que pongas abajo ordenadamente