eh troppa carne al fuoco Cri.
Comunque mysql_real_escape_string è essenziale: se un utente immette degli apici singoli nella stringa di testo che tu invii al database, questo ti può causare la troncatura della stringa SQL - nel migliore dei casi la query non è eseguita,nel peggiore l'utente lo fa apposta per poi fare seguire istruzioni che danneggiano il tuo db.

mysql_real_escape_string pone un carattere di escape davanti a tutti gli apici, così che non possano essere fraintesi come chiusure premature della stringa: sql injection o sql attacks o in italiano

ps che sul db sia &/駰ç è normale. L'imnportante è che quando stampi dal db su php ti ridia i caratteri latini.