usá mysqli, http://www.php.net/manual/es/book.mysqli.php, y fijate el método prepare para meter variables. Te vas a ahorrar andar pensando tanto en la seguridad.


y en esa línea, todavía no hay versión 6, recién salió la 5.6 asique siempre va a entrar al if