No, no siempre. Lo que hace mysql_real_escape_string es precisamente "escapar" cualquier cosa que sea especial para MySQL dentro de esa cadena. Es decir, no va a interpretar nada de lo que haya pasado por esa función como código SQL y por tanto hacer una inyección SQL es imposible...