No, no es seguro. Usa mysql_real_escape_string() en cambio. No debe agregar nada más allá de lo que se necesita para escapar de la cadena.
http://php.net/mysql-real-escape-string
Esto también se aplica a otras bases de datos:use la función de escape específica de la extensión.
