Cita:
Iniciado por Triby 
- $reg[$EXP] es una cadena?, entonces deberías escaparla
- El valor para $NG es numérico?, no necesitas escaparlo sólo asegurarte de que sea numérico
- Los valores de $MC y $EXP son tomados de alguna entrada del usuario ($_GET, $_POST, etc.)?, entonces deberías verificar que el contenido sea adecuado
- $reg[$EXP] si es un cadena, voy a escaparla.
- $NG si es un valor numerico, y lo tenia como ".$NG."=1 deberia dejarlo asi o como me aseguro de que sea numerico?
-$MC Y $EXP son seleccionados en base a un dato que se envia, dejo el codigo para que se vea mejor:
$var=mysql_real_escape_string($_POST['r1']);
$registro=mysql_query("select ".$EXP.", ".$AP.", ".$A.",from ".$PB." where ".$NG."='$var' ");
while($reg=mysql_fetch_array($registro)){
$cod1=mysql_real_escape_string($reg[$EXP]);
mysql_query("UPDATE ".$MC." SET $EXP=$cod1 WHERE ".$NG."=1 ",$conexion);
mysql_query("UPDATE ".$MC." SET $AP=".$reg["$AP"]." WHERE ".$NG."=1 ", $conexion);
mysql_query("UPDATE ".$MC." SET $A=".$reg["$A"]." WHERE ".$NG."=1 ", $conexion);
}