Si el mysql_real_escape_string() lo he usado en el insert a la base de datos pero no se si asi esta ya todo el codigo bien protegido o le falta algo? y otra duda es: ¿Si no es un insert y la consulta es un select tambien hay que usar el mysql_real_escape_string()?

Saludos