No, no es suficiente, porque lo unico que hace mysql_real_escape_string() es "limpiar" los textos para evitar inyeccion SQL, permitiendote guardar cualquier caracter y la seguridad se limita a la base de datos, todavia quedan las inyecciones XSS y algunos otros detalles, pero, para no extendernos mucho con temas que ya se estan tratando, puedes ver: http://www.forosdelweb.com/f18/como-...ql-xss-790422/