Grazie per il consiglio, lo terrò a mente.
Ascolta, non ho davvero voglia di intrattenere un botta e risposta solo con te: se ti vuoi limitare a rispondere alle risposte degli utenti bene, se invece vuoi inveire sulla mia ignoranza è ben diverso.

L'esempio che mi hai fornito mi è utile, mi ha fatto capire che si potrebbe accedere all'intero DB così semplicemente anche da una query normalissima. Tralasciando che sui form ho posto dei controlli accurati sul formato e il contenuto di essi mi chiedo: se il malintenzionato non conosce i dati d'accesso al db come può eseguire delle query su di esso?

Comunque mi basta sfruttare questa funzione per tutte le variabili che, come dici, vengono a contatto con l'utente o c'è dell'altro che dovrei sapere?
Più cose mi indichi e prima mi posso informare, se invece devo strapparti le risposte di bocca ad ogni post andiamo avanti di +1 all'infinito.
Guarda che non si tratta di infierire si tratta di studiare e poi migliorare, non si puo
fare una cosa se non si conoscono le basi, io ad esempio stavo iniziando il java da poco
ma non mi metto di certo a fare giochi 3D con utilizzo di vettori o altro.

Il malintenzionato puo eseguire le query con l'interruzione di una query in esecuzione
aggiungendo ciò che vuole, questo è il pericolo.

Ovviamente ti basta organizzarti le variabili e tutto, comunque si usa quella
se non è un campo numerico da proteggere sennò fai come nel secondo esempio
se int o float o altri valori numerici fai prima.

Ps: ti ricordo che mysql_real_escape_string funziona solo se esiste una connessione sql
attiva, poi ti consiglio di mettere la codifica del database in UTF-8