mysql_real_escape_string() para evitar SQL inyection

Hola
¿Sería aconsejable aplicar a todas las variables $_POST y $_GET que entren de formularios o a través de la URL a las consultas sql la función mysql_real_escape_string() para evitar SQL inyection?

p. ej.:

$id=$_GET["id"];
$sql="SELECT * FROM tabla WHERE id='".mysql_real_escape_string($id)."'";

la consulta anterior sería lo mismo así:

$sql="SELECT * FROM tabla WHERE id=`$id`";

o así:

$sql="SELECT * FROM tabla WHERE id=`{$id}`";

Es lo recomendable para evitar "SQL inyection"

¿en vez de usar mysql_real_escape_string se puede hacer esto?

$sql="SELECT * FROM tabla WHERE id=`$id`";

o así:

$sql="SELECT * FROM tabla WHERE id=`{$id}`";

Entonces pueden hacer SQL Inyection, si no usas mysql_real_escape_string.

Ok.
Weno y tambien es simple curiosidad:

Ya que se conoce como se ha creado y como está hecha esa función, se puede vurlar la seguridad de alguna manera, o es 100% fiable esa función?

Lee esto http://www.php.net/manual/en/securit...-injection.php

Bueno, algunas cosas hay que tener en cuenta, pero siempre van a poder hacerte SQL inyection, verdad?

No, no siempre. Lo que hace mysql_real_escape_string es precisamente "escapar" cualquier cosa que sea especial para MySQL dentro de esa cadena. Es decir, no va a interpretar nada de lo que haya pasado por esa función como código SQL y por tanto hacer una inyección SQL es imposible...

¿Sería correcto usar esta función también?

function mysql_escape($cadena) {
if(get_magic_quotes_gpc() != 0) {
$cadena = stripslashes($cadena);
}
return mysql_real_escape_string($cadena);
}

la encontré aquí en forosdelweb