sql injection Opcje

[slaw.omir]

Mam pytanie czy poniższy kod w dużym stopniu zabezpieczy skrypt
przed atakiem sql injection

[PHP] pobierz, plaintext 
<?php
include('connect.php');
 
$kat=$_GET['kat'];
$torba=$_GET['torba'];
 
$torba = mysql_real_escape_string($_GET['torba]);
 
if (! ereg ("[a-z-]$", $_GET['kat'])){
 
$ostrzezenie2='2';
 
 }else{
 
if($kat=='kategoria_a'){
 
   $zapytanie = mysql_query ("SELECT * FROM firmy_towar where kategoria = 'kategoria_a''")
	or die ("Zapytanie niepoprawne");
 
		while ($row = mysql_fetch_array($zapytanie)){
		$id_f[]=$row["id_f"];
		$firma[]=$row["firma"];
		$stoisko[]=$row["stoisko"];
 
		}
 
 
}
 
else if (! ereg ("[a-z-]$", $_GET['$torba]))
 
{
 
$ostrzezenie2='2';
 
 }else{
 
	$zapytanie = mysql_query ("SELECT * FROM firmy_lokalne where kategoria = '$torba'")
	or die ("Zapytanie niepoprawne");
 
		while ($row = mysql_fetch_array($zapytanie)){
		$id_f[]=$row["id_f"];
		$firma[]=$row["firma"];
		$stoisko[]=$row["stoisko"];
 
 
}
	}
 
 
mysql_close($connect);
?>
[PHP] pobierz, plaintext 

W jaki sposób moge zabezpieczyć taki skrypt przed atakiem sql injection?