Usaría el array_walk() función. Es más adecuado porque modifica el POST superglobal para que cualquier uso futuro sea desinfectado.
array_walk_recursive( $_POST, 'mysql_real_escape_string' );
Sin embargo, asegúrese de no confiar en esta línea para proteger completamente su base de datos de los ataques. La mejor protección es limitar los juegos de caracteres para ciertos campos. Ex. Los correos electrónicos no tienen comillas (así que solo permite letras, números, @, guiones, etc.) y los nombres no tienen paréntesis (así que solo permite letras y caracteres especiales seleccionados)
EDITAR: Cambiado array_walk() a array_walk_recursive() gracias a la sugerencia de @Johan. Apoyos para él.
