Como ¿implemento correctamente esta función?

buenas, compañeros del foro soy novato en la programación php y hace unos meses que vengo desarrollando un sitio web para mi proyecto en el cual diseñe una sección php para un formulario de registro, recientemente me empece a instruir en lo que son los ataques inyección sql ya que son los mas comunes he investigando encontré que la manera mas sencilla para un novato como yo es usar la función mysql_real_escape_string, por lo que he entendido debo declararla antes de cada variable en la consulta.

este es el código original del formulario

<?php


@$nombre=$_POST['nombre'];

@$CI=$_POST['CI'];

@$telefono=$_POST['telefono'];

@$edad=$_POST['edad'];

@$direccion=$_POST['direccion'];

@$profesion=$_POST['profesion'];

@$trabaja=$_POST['trabaja'];


if ($nombre!= "" && $CI!= "" && $telefono!= "" && $edad!= "" && $direccion!= "" && $profesion!= "" && $trabaja!="" )

{

mysql_connect("servidor","usuario","pass");

mysql_select_db("nombre bsd");


// Paso 2: Hacemos la consulta a la Tabla por el usuario
$busqueda= mysql_query("SELECT CI FROM habitantes WHERE CI='$CI'");


// Paso 3: vemos si hubo coincidencias
if(mysql_num_rows($busqueda)>0) { // ó " !=0 " como se quiera ver
// Inciso a:
echo "El numero de cedula ya esta registrado. Por favor intente con otro.<br>";
echo "<a href=\"javascript:history.back()\">Regresar</a>";
} else

{

mysql_query("INSERT INTO habitantes(nombre,CI,telefono,edad,direccion,profe sion,trabaja) VALUES( '$nombre', '$CI', '$telefono', '$edad', '$direccion', '$profesion', '$trabaja')");

echo "$CI ha sido registrado.";

}
}

?>


Y ESTE ES EL CÓDIGO APLICANDO DICHA FUNCIÓN


<?php


@$nombre=$_POST['nombre'];

@$CI=$_POST['CI'];

@$telefono=$_POST['telefono'];

@$edad=$_POST['edad'];

@$direccion=$_POST['direccion'];

@$profesion=$_POST['profesion'];

@$trabaja=$_POST['trabaja'];


if ($nombre!= "" && $CI!= "" && $telefono!= "" && $edad!= "" && $direccion!= "" && $profesion!= "" && $trabaja!="" )

{

mysql_connect("servidor","usuario","pass");

mysql_select_db("nombre bsd");


// Paso 2: Hacemos la consulta a la Tabla por el usuario
$busqueda= mysql_query("SELECT CI FROM habitantes WHERE CI='$CI'");


// Paso 3: vemos si hubo coincidencias
if(mysql_num_rows($busqueda)>0) { // ó " !=0 " como se quiera ver
// Inciso a:
echo "El numero de cedula ya esta registrado. Por favor intente con otro.<br>";
echo "<a href=\"javascript:history.back()\">Regresar</a>";
} else

{

mysql_query("INSERT INTO habitantes(nombre,CI,telefono,edad,direccion,profe sion,trabaja) VALUES(mysql_real_escape_string '$nombre',mysql_real_escape_string '$CI',mysql_real_escape_string '$telefono',mysql_real_escape_string '$edad',mysql_real_escape_string '$direccion',mysql_real_escape_string '$profesion',mysql_real_escape_string '$trabaja')");

echo "$CI ha sido registrado.";

}
}

?>

mi pregunta es si aplique correctamente el mysql_real_escape_string dentro del código, gracias de antemano.

primero las recomendaciones
- Leer: http://www.forosdelweb.com/f18/anunc...oleta-1008145/.
- evitar el uso @: el esconder un mensaje de warning o error no lo resuelve.
- mysql_real_escape_string el manual siempre es el que te dice como debes aplicar una función, además de que si no te envía ningún error pues lo mas seguro es que lo estes aplicando bien la funcion.

Saludos

gracias men.

Mas recomendaciones.... lo siguiente esta no-muy-bien por varios motivos


- Suprimir errores con @ solo te dara dolores de cabeza para descubrir fallas........

- Si sabes que puede darte error por estar vacio $_POST['algo'] entonces mejor has asi:


Asi lo haces bien y dejas de suprimir errores, ademas hay reportes de que es mas lento si suprimes errores

muchas gracias por tu consejo men lo aplicare, estaba esperando que mi tutor académico me hiciera la corrección, pero mejor pulo mas el código, como he estado aprendiendo esto con un vídeo tutorial de youtube que esta algo desactualizado, mejor seguiré leyendo el manual php. también cambiare la extensión mysql a mysqli ya que por lo que lei en otro post de aquí esta obsoleta.