Ok, me he documentado un poquillo y he visto que con mysql_real_escape_string lo que haces es que validas que el texto que te mandan no contenga caracteres especiales, con lo cual deduzco que no pueden mandar consultas SQL por el post y por lo tanto evitas el SQL injection.
Ahora lo implementare para evitarme futuros "incidentes"

Por cierto tb usé lo de las comillas que me dicen en el post anterior solucionando lo de la bussqueda.

GRACIAS!!!!