Usa SIEMPRE
mysql_real_escape_string() con datos que provengan del cliente y que vayan a formar parte de una consulta sql.
Además, siempre es recomendado poner límites en cuanto a la longitud de datos ingresados (OJO, en plural, osea un límite inferior y también uno superior).