Pero por ejemplo, supongamos un formulario con un campo de texto y uno para foto.

Como tu dices en esta frase:

en todo caso si asignas una valor introducido por el usuario deberías validarlo mucho antes de almacenarlo, y no al momento de utilizarlo... he ahí el detalle!!

$texto=formato_correcto($_POST['texto']); //función de validación
$nombrefoto=$_FILES['archivo']['name'];
$usuario=$_SESSION['usuario'];


$sql="INSERT INTO album (texto,foto,usuario) VALUES ('".mysql_real_escape_string($texto)."','$nombrefo to"','$usuario');

¿Es eso a lo que te refieres?