Seguridad base de datos con mysql_real_escape_string

Tengo una web con base dedatos y he oido que pueden atacar la web y que se puede poner código para evitarlo. He leido algo sobre esta función: mysql_real_escape_string . El problema es que no tengo conocimientos de php y por mucho que busco en foros e intento ponerlo siempre me da error.
Este es el código que yo tengo de acceso a base de datos:
<?php
$link=mysql_connect("localhost","usuario","passwor d");

mysql_select_db('base_datos');
$n=$_GET['id'];
$todo=mysql_fetch_array(mysql_query("select * from pueblos where cod_id='".$n."'"));

?>

¿donde y como tendría que poner el código para tener mayor seguridad ante una posible inyeccion sql ?
Como digo no tengo conocimientos de php y en cuanto cambio una comilla o una coma me sale error por lo que tendría que hacerlo sobre este código que pongo aqui.
Gracias por vuestra colaboración.

Bueno, antes que nada te recomiendo leer esto:

http://code.google.com/p/doctype/wiki/EsArticleIntroductionToXSS


mysql_real_escape_string, como te dice en el manual, te escapa caracteres especiales tomando en cuenta la codificación de la base de datos.

pero por sí mismo no funciona, segun el código que pusiste, imaginate que yo meto desde mi url esto:

archivo.php?id=(delete from pueblos where id>0).

Entonces, la query que pasaría sería:


con lo cual yo podría borrar todos los registros de tu tabla.

Entonces, antes que nada debes tener la costumbre de incluir comillas en tus consultas así:


Así mi código maligno quedará como texto y tu tabla estará segura.

pero digamos que yo soy mas listo y escribo esto en la URL:

archivo.php?id=43' and id=(delete from pueblos where id>0) and nombre='sdf.

Y con eso ahora la query quedara como:


Y nuevamente estás en peligro, allí es donde entra mysql_real_escape_string():


tras lo cual la consulta quedaría como:


Y de nuevo has evitado mi intento de hacerte pasar un muy mal día.

paynalton,
Los casos como ID's numéricos lo mejor es hacer un cast:

Saludos,

Perfeco, ahora si funciona paynalton
Muchisimas gracias por tu aportación
A pesar de haberme leido horas y horas no era capaz de introducir el código y que funcionara
En el caso de que la consulta la tenga de esta forma:
$resultado = mysql_query('select distinct ID,`campo` from `pueblos` order by `campo` limit 0,13');

¿donde se pondría el código? y con este código es suficiente para estar seguro?

Por otra parte, si tienes alguna web y quieres algún enlace, puedes dejarme un privado y te pongo alguno

SALUDOS!

¡Hola! soy nuevo. ¿este problema de seguridad se evitaria enviando mediante POST y no variables en la url (GET) ? ¿es asi?

Porque soy nuevo con PHP pero para evitar problemas siempre envio variables mediante POST (cuando se trata de datos importantes).
Aunque es verdad que tambien puedo enviar 'codigo' en campos de un formulario (lo habia pasado por alto)
pero en ese caso puedo "validar" los campos de alguna forma para evitar que ingresen codigo.

¿les parece correcto esto? o aun es inseguro...

¡Saludos!
Adoro PHP y este foro es de lo mejor!

Hola tengo un problema similar con un libro de visitas que me bombardearon de todo tipo de script maligno, se que se utiliza mucho mysql_real_escape_string pero en mi caso estoy igual no se en que parte de mi codigo fuente de libro de visitas lo puedo insertar. Dejo el codigo a la vista por si alguien con los conocimientos adecuados me pueda ayudar, gracias de antemano.

<?php require_once('Connections/libreriavirtualconn.php');?>
<?php if (!function_exists("GetSQLValueString")) {
function GetSQLValueString($theValue, $theType, $theDefinedValue = "", $theNotDefinedValue = "")
{
if (PHP_VERSION < 6) {
$theValue = get_magic_quotes_gpc() ? stripslashes($theValue) : $theValue;
}

$theValue = function_exists("mysql_real_escape_string") ? mysql_real_escape_string($theValue) : mysql_escape_string($theValue);

switch ($theType) {
case "text":
$theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
break;
case "long":
case "int":
$theValue = ($theValue != "") ? intval($theValue) : "NULL";
break;
case "double":
$theValue = ($theValue != "") ? doubleval($theValue) : "NULL";
break;
case "date":
$theValue = ($theValue != "") ? "'" . $theValue . "'" : "NULL";
break;
case "defined":
$theValue = ($theValue != "") ? $theDefinedValue : $theNotDefinedValue;
break;
}
return $theValue;
}
}

$editFormAction = mysql_real_escape_string($_SERVER['PHP_SELF']);
if (isset($_SERVER['QUERY_STRING'])) {
$editFormAction .= "?" . htmlentities($_SERVER['QUERY_STRING']);
}

if ((isset($_POST["MM_insert"])) && ($_POST["MM_insert"] == "form3")) {
$insertSQL = sprintf("INSERT INTO visitas (correo, comentario) VALUES (%s, %s)",
GetSQLValueString($_POST['correo'], "text"),
GetSQLValueString($_POST['comentario'], "text"));

mysql_select_db($database_libreriavirtualconn, $libreriavirtualconn);
$Result1 = mysql_query($insertSQL, $libreriavirtualconn) or die(mysql_error());

$insertGoTo = "visitas.php";
if (isset($_SERVER['QUERY_STRING'])) {
$insertGoTo .= (strpos($insertGoTo, '?')) ? "&" : "?";
$insertGoTo .= $_SERVER['QUERY_STRING'];
}
header(sprintf("Location: %s", $insertGoTo));
}

mysql_select_db($database_libreriavirtualconn, $libreriavirtualconn);
$query_categorias = "SELECT * FROM categorias";
$categorias = mysql_query($query_categorias, $libreriavirtualconn) or die(mysql_error());
$row_categorias = mysql_fetch_assoc($categorias);
$totalRows_categorias = mysql_num_rows($categorias);

mysql_select_db($database_libreriavirtualconn, $libreriavirtualconn);
$query_visitas = "SELECT * FROM visitas ORDER BY visitaid DESC";
$visitas = mysql_query($query_visitas, $libreriavirtualconn) or die(mysql_error());
$row_visitas = mysql_fetch_assoc($visitas);
$totalRows_visitas = mysql_num_rows($visitas);
?>