mysql_real_escape_string() verrebbe effettuata prima di mysql_query() per var1 e var2. Se i dati che inserisci contengono dei apici rompono la query, quindi c'è bisogno di fare l'escaping e anche per le sql injection ... http://it.wikipedia.org/wiki/SQL_injection