scusa e basterebbe questo per rendere il sito sicuro????

$sql = "select * from user where username='" . mysql_real_escape_string($_POST['username']) . "' and password='" . mysql_real_escape_string($_POST['password']) . "'";

perdonami ma cosi mi fai saltare i caratteri di escape.. ma come potrebbero creare danni utilizzandoli??