problemas con mysql_real_escape_string

Estoy agregando mysql_real_escape_string para limpiar variables, tengo este pedazo de codigo:

$var=mysql_real_escape_string($_POST['r1']);
$registro=mysql_query("select ".$EXP.", ".$AP.", ".$A.",from ".$PB." where ".$NG."='$var' ");

while($reg=mysql_fetch_array($registro)){

$cod1=mysql_real_escape_string($reg[$EXP]);

mysql_query("UPDATE ".$MC." SET $EXP=$cod1 WHERE ".$NG."=1 ",$conexion);
mysql_query("UPDATE ".$MC." SET $AP=".$reg["$AP"]." WHERE ".$NG."=1 ", $conexion);
mysql_query("UPDATE ".$MC." SET $A=".$reg["$A"]." WHERE ".$NG."=1 ", $conexion);

}


pero en vez de imprimirme el valor de mi base de datos me imprime literalmente: $reg[$EXP], ya probe con comillas, sin comillas, etc. y ninguno dio resultado

No se si será porque $reg[$EXP] está mal me parece.
Creo que es $reg['EXP']

gracias, ya he probado de esa manera :s y no obtuve resultado, poniendolo asi como tu dices me tira este error

Notice: Undefined index: $EXP

lo cual no entiendo porque en mi consulta select estoy pidiendo esa variable... no se si habra un mysql_real_escape_string para arrays??

El uso está desaconsejado: http://es.php.net/mysql_real_escape_string/.

Yo suelo usar addslashes() que añade barras invertidas en las comillas y el apóstrofo inglés.

probe con addslashes, y mysqli, obteniendo estos resultados:

Notice: Undefined index: $EXP in C:

Warning: mysqli_real_escape_string() expects parameter 1 to be mysqli, null given

porque no me reconoce la variable $reg[$EXP] ?? si esta incluida dentro del array. Ahora si quito la sentencia de real_escape si la reconoce

¿Podrías hacer un "var_dump( $EXP ):" y decir lo que te muestra por pantalla?

hasdpk, creo que hay una pequeña confusión, lo que está desaconsejado es el uso de la librería mysql y todas sus funciones relacionadas, debiendo usar en su lugar mysqli o PDO.

Ahora, si usas mysql o mysqli, es altamente recomendable que escapes los datos correctamente con mysql_real_escape_string() o mysqli_real_escape_string(), puesto que son las funciones nativas para tal efecto.

ANDRESDD, parece que todavía no te ha quedado claro que mysql_real_escape_string() se usa para escapar strings, cadenas, no datos numéricos y que cualquier entrada proveniente del usuario o manipulable en cualquier forma por él, debes validarla en cuanto a valor y tipo se refiere.

Haz un breve resumen de todas las variables que incluyes en ese código, porqué las creas?, de dónde toman su valor?, qué tipo de dato deben contener?, etc.

Con eso será más fácil decirte que estás haciendo mal y, por cierto, lo del var_dump() sería bueno que lo aplicaras también a $reg.

Gracias hasdpk y Triby, precisamente eso habia preguntado en otras discusiones pero siempre obtengo la misma respuesta "debes escapar variables" pero no me dicen en que tipo de variables es necesario hacerlo, solo se que las variables recibidas por Post o Get deben ir escapadas, pero ¿qué hay de las variables que yo saco de una tabla de mi base de datos y las actualizo en otra tabla de mi base de datos para presentar alguna grafica al usuario posteriormente? aqui no hay intervencion del usuario, entonces ¿debo escaparlas? tambien tengo botones select que solo envían números, ¿debo escapar la variable que recibe estos numeros?

Podrias tratar de escribir el query asi:
parece raro... pero funciona... asi envio yo datos dentro de un arreglo en un string... es mas facil, limpio y por supuesto se ve profesional. ahora solo queda saber si las variables llevan algun valor y que estes usando PHP 5

Saludos y espero que te sirva.

es necesario que escape las variables enviadas desde una lista select que despliega los valores(que son numeros del 0 al 10) que estan en una tabla de una base de datos y los envía a otra tabla?