Bueno el script es lo de menos, lo tengo echo y funcionando, lo que no tenia claro es la seguridad, aunque creo que ya lo tengo.

Lo que me ha quedado claro es no confiarse solo con mysql_real_escape_string() y no usar addslashes(). Ya que no son suficientemente seguras aparte de que addslashes sera depreciada proximamente.