Como mínimo añade un $busqueda = addslashes($_POST["buscar"]); para evitar en parte un ataque por inyección de código SQL, sinó lo dejas totalmente inseguro.