Eso es algo efectivo, pero no es óptimo:no todos los datos que recibe en _GET y _POST irán a la base de datos. A veces, es posible que desee mostrarlo en la página, en cuyo caso mysql_real_escape_string solo puede dañar (en su lugar, desearía entidades html).
Mi regla general es escapar algo inmediatamente antes de ponerlo en el contexto en el que debe escaparse.
En este contexto, sería mejor usar consultas parametrizadas; luego, el escape se realiza automáticamente.
