Con mysql_real_escape_string sei quasi al sicuro sa sql injection. Usa PDO o mysqli come conneettore a mysql.

Altro piccolo consiglio, i campi e le tabelle riguardanti il login ad aree protette è uona cosa chiamarli in maniera bizzarri. Così chi cerca di farti una SQL Injection ha qualche dioffcoltà in più.

Noi username, password e il nome delle tabelle, le chiamiamo in dialetto