Hola
¿Sería aconsejable aplicar a todas las variables $_POST y $_GET que entren de formularios o a través de la URL a las consultas sql la función mysql_real_escape_string() para evitar SQL inyection?

p. ej.:

$id=$_GET["id"];
$sql="SELECT * FROM tabla WHERE id='".mysql_real_escape_string($id)."'";

la consulta anterior sería lo mismo así:

$sql="SELECT * FROM tabla WHERE id=`$id`";

o así:

$sql="SELECT * FROM tabla WHERE id=`{$id}`";