Das ist etwas effektiv, aber suboptimal – nicht alle Daten, die Sie in _GET und _POST erhalten, werden in die Datenbank aufgenommen. Manchmal möchten Sie es vielleicht stattdessen auf der Seite anzeigen, in diesem Fall kann mysql_real_escape_string nur schaden (stattdessen möchten Sie htmlentities).
Meine Faustregel lautet, etwas nur unmittelbar zu maskieren, bevor es in den Kontext gestellt wird, in dem es maskiert werden muss.
In diesem Zusammenhang sollten Sie besser nur parametrisierte Abfragen verwenden – dann wird das Escapezeichen automatisch für Sie erledigt.
