Claro que sí, es normal, ya que lo que hace mysql_real_escape_string es escapar esos caracteres, así, en lugar de modificar la consulta y provocar un ataque de inyección SQL, se guardan en la base de datos. Puedes leer sobre su comportamiento en el manual: http://www.php.net/manual/es/functio...ape-string.php