El codigo lo veo bien, despues otra cosa seria si sabes que esa variable no debe contener numeros, o letras, o lo que sea, dependiendo de lo que vaya a contener, pues que elimines o hagas que el usuario introduzca un dato correcto, pero con lo que tienes esta bien, ten en cuenta tambien que mysql_real_escape_string solo sirve para mysql, es una funcion de mysql.

Un saludo