Hola, es una duda que tengo.

Quería saber si es aconsejable, a la hora de insertar en una base de datos desde un formulario, hacerle un mysql_real_escape_string a las variables $_FILES['archivo']['name'] para guardar el nombre de una foto y a $_SESSION['usuario'] para guardar el nombre del usuario que la sube.


$nombrefoto=$_FILES['archivo']['name'];
$usuario=$_SESSION['usuario'];

$sql="INSERT INTO album (foto,usuario) VALUES ('".mysql_real_escape_string($nombrefoto)."','".my sql_real_escape_string($usuario)."');

Gracias de antemano.