Hola estimados,

En qué línea debo agregar mysql_real_escape_string() para protegerme de un posible ataque de SQL Injection?:

Yo lo tengo así para una consulta que trae datos de unos GET[]:

......................

$cod1 = $_GET['cod1'];
$cod2 = $_GET['cod2'];
require("conectar.php");

$codigo1 = mysql_real_escape_string($_GET['cod1']);
$codigo2 = mysql_real_escape_string($_GET['cod2']);

$consulta = mysql_query("SELECT * FROM codigos WHERE cod = '$codigo1'");
while($resultado = mysql_fetch_array($consulta))

......................

Está bien la utilización del mysql_real_escape_string?. Me pueden dañar mi sitio?.

Aclaro que sólo lo uso para consulta; las altas, modificaciones y eliminaciones las hago directamente desde phpmyadmin.

Muchas Gracias de antemano!.