non è la funzione ad essere sconsigliata, anzi, di per se è meglio usare questa piuttosto che mysql_escape_string in quanto tiene in considerazione anche la codifica adottata nella comunicazione tra client e server (mysql intendo)

è l'estensione mysql che è deprecata ed è meglio passare a MySQLI, che sta per MySQL Improved, oppure a PDO_MySQL, che è ancora meglio secondo me