mysql_real_escape_string solo te protege contra sql inyection es decir solo te escapa estas variables:
Si lo que deseas es escapar esas variables, necesitas usar una combinacion de htmlspecialchars y strip_tags.