Jokertekens zijn alleen van kracht wanneer ze worden gebruikt in SELECT query's en dan alleen bij gebruik van bepaalde functies. Dus voor het invoegen van de code is het prima om mysql_real_escape_string() te gebruiken omdat ze geen effect hebben.
Om het beter te maken, raad ik je aan om PHPs PDO te gebruiken zodat u parameterbinding kunt gebruiken. Het volgende voorbeeld komt uit de PHP-handleiding :
<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// insert one row
$name = 'one';
$value = 1;
$stmt->execute();
// insert another row with different values
$name = 'two';
$value = 2;
$stmt->execute();
?>