Tach!

mysql_query("SELECT * FROM ip_ranges WHERE HEX(RangeFrom) <= HEX(" . mysql_real_escape_string(inet_pton($ip)) . ") AND HEX(RangeTill) >= HEX(" . mysql_real_escape_string(inet_pton($ip)) . ")")

mysql_real_escape_string() behandelt Werte für den String-Kontext. Wenn du keinen solchen mit (einfachen oder doppelten) Anführungszeichen einleitest, bringt dir diese Funktion sicherheitstechnisch gar nichts. Zudem notierst du keinen String sondern irgendwas anderes.

dedlfix.