mysql_real_escape_string() solo se usa para insertar los datos, no tienes que hacer una llamada a dicha funcion para recoger datos, por lo que no tienes que preocuparte.

Y claro que es importante tener en cuenta la inyeccion SQL, hay muchos usuarios maliciosos que pueden costarnos muy caro sino tomamos las precauciones necesarias.

Imaginate que un usuario no deseado obtenga acceso como administrador a tu sitio, ¿que desastre no?
Si quieres tener aun mas seguridad, no te conectes a la base de datos usando PHP mediante un usuario que tenga todos los permisos, solo los necesarios (usualmente SELECT, INSERT, DELETE y UPDATE).