Sí es suficiente. De hecho, dependiendo del tipo de dato que recibes, ya es exagerado. No siempre es conveniente quitar los tags HTML (strip_tags) o convertirlo a entidades (htmlentities), con eso ya debes preocuparte a la hora de mostrar los datos y no necesariamente a la hora de guardarlos, a la hora de guardarlos con mysql_real_escape_string te aseguras de que no apliquen inyección SQL.