Вопреки древнему поверию, гласящему, что mysql_real_escape_string()
защищает от SQL инъекций, функция этого не делает.
Единственный, более-менее надёжный способ избежать SQL инъекций — использовать подготовленные запросы (prepared statements) с параметрами.