Dat is enigszins effectief, maar het is suboptimaal -- niet alle gegevens die u ontvangt in _GET en _POST gaan naar de database. Soms wil je het misschien op de pagina weergeven, in welk geval mysql_real_escape_string alleen maar pijn kan doen (in plaats daarvan zou je htmlentities willen).
Mijn vuistregel is om alleen aan iets te ontsnappen onmiddellijk voordat je het in de context plaatst waarin het moet worden ontsnapt.
In deze context kunt u beter alleen geparametriseerde zoekopdrachten gebruiken - dan wordt escapen automatisch voor u gedaan.