Me pueden explicar como funciona esto?.

Hola toy biendo el tema de seguridad y no entiendo algunas cosas de este codigo. Aver si me lo esplican por partes, gracias de antemano.

Código PHP :

<?php
// Conectarse
$enlace = mysql_connect('mysql_host', 'mysql_usuario', 'mysql_contrasenya')
    OR die(mysql_error());//Asta aca perfecto

// Consulta (Aca me resulta algo confuso la consulta me la explican por parte, gracias.)
$query = sprintf("SELECT * FROM usuarios WHERE usuario='%s' AND
     password='%s'",
            mysql_real_escape_string($usuario),
            mysql_real_escape_string($password));
?>

, sea, "Estoy", "Viendo", "Explican" y "Hasta" no?

El query es una cadena la cual, en este caso, se compone por 2 variables, las variables serian los "%s" osea Strings (cadenas), las cuales se generan mediante la función mysql_real_escape_string, esta función lo que hace es sustituir todos aquellos caracteres con los cuales pueden "romper" la consulta en Mysql, para ser directos, escapa ciertos caracteres agregando un "\".

Ahora esto realmente no tiene nada de seguridad ya que aun se puede hacer un SQL Inject.

Saludos!!

Como sería en ese caso.? Lo del SQL Injection digo...