dipende da come è costruita la query, dalla presenza di magic_quotes_gpc, dal tipo di dato che vuoi filtrare, ...

nell'articolo sono presentati alcuni esempi, e non sempre una funzione di escape è sufficiente, anche perche ad esempio i caratteri % e _ non vengono filtrati da mysql_real_escape_string o mysql_escape_string, pur essendo caratteri che assumono un senso quando c'è una clausula LIKE nella query.

inoltre tieni presente che non controllare gli input può portare ad altri problemi, piu o meno gravi, che esulano dalla sql injection (es: tag html in un campo di testo, indirizzi email non validi, ecc.ecc.)