Itu agak efektif, tetapi kurang optimal -- tidak semua data yang Anda terima di _GET dan _POST akan masuk ke database. Terkadang Anda mungkin ingin menampilkannya di halaman, dalam hal ini mysql_real_escape_string hanya dapat merugikan (sebagai gantinya, Anda menginginkan entitas html).
Aturan praktis saya adalah hanya melarikan diri dari sesuatu segera sebelum memasukkannya ke dalam konteks di mana ia perlu diloloskan.
Dalam konteks ini, Anda sebaiknya hanya menggunakan kueri berparameter -- lalu melarikan diri dilakukan untuk Anda secara otomatis.
