Hola,
Técnicamente es todo lo que se necesita, pero mysql_real_escape_string es una arma de dos filos, si no la usas bien seguramente te va a dar problemas,
Código:
$tabla = 'tabla VALUES (10000); -- ";
$texto = "INSERT INTO $tabla VALUES (100)";
Cita:
Iniciado por RichBoy 
$texto = mysql_real_escape_string ( $texto );
Código:
echo $texto;
INSERT INTO tabla VALUES (10000); -- VALUES (100)
Anda y lee el manual, y entiende perfectamente que hace la función, de esa forma vas a aprender a usarla de la manera correcta,
Saludos,
ps:
El ejemplo que mostré seguramente no funciona, es solo para darte una idea por donde pueden estar los problemas.