Quindi in pratica se io avessi fatto così:

$insert=mysql_real_escape_string(mysql_query("INSE RT INTO prova. . . . ... ..

nel secondo caso ho sbagliato assolutamente quindi non c'è protezione, giusto?

Inoltre se io avessi anche la variabile già protetta con htmlentities come faccio? Cioè ripropongo tutto così:

$nome=mysql_real_escape_string(htmlentitis($_POST['nome'])); Così?

Oppure devo fare una varibile con htmlentitis e una con mysql_real_escape_string?