Cita: Tengo otra pregunta, para evitar inyecciones SQL, utilizariamos la siguiente funcion...
"select usuario from usuarios where usuario=mysql_escape_string('".$user."') and md5(mysql_escape_string('".$password."')) ";
La función mysql_escape_string() quedó descartada para versiones posteriores a PHP 4.3.0.
A menos que estés utilizando la version citada u otra anterior utiliza mejor mysql_real_escape_string().