Dipende sempre da cosa vuoi fare: se vuoi stampare a output dei dati, allora utilizzare htmlspecialchars o simili. Per query, allora mysql_real_escape_string non ti fà mancare niente sul fronte sicurezza.