Hi guys

I am told that this is not safe to mysql injections, I want to use mysql_real_escape_string. but im not exactly sure how to implement it into my code

Can anyone Help?


PHP Code:
<?php



  
// Get the search variable from URL

  
$location $_GET['location'] ;
  
$category $_GET['category'] ;
    
$salarytype $_GET['salarytype'] ;
      
$salary $_GET['salary'] ;
        
$jobtype $_GET['jobtype'] ;
          
$order =$_GET['order'];
  
$var = @$_GET['category'] ;
  
$var2 = @$_GET['location'] ;
    
$var3 = @$_GET['salary'] ;
      
$var4 = @$_GET['jobtype'] ;







// Build SQL Query  



   

$query "SELECT *, date_format(startdate,'%d/%m/%Y') startdate FROM jobs WHERE 1=1  ";

if (!empty(
$category)) {
  
$query .= "AND category='mysql_escape_string($category)' ";
}

if (!empty(
$location)) {
  
$query .= "AND location='$location' ";


if (!empty(
$salarytype)) {
  
$query .= "AND salarytype='$salarytype' ";
}

if (!empty(
$salary)) {
  
$query .= "AND salary >= $salary ";
}

if (!empty(
$jobstatus)) {
  
$query .= "AND jobstatus='$jobstatus' ";



$query.= "ORDER BY '$order' ASC";