Eso no evita los ataques de inyección SQL en lo absoluto. Para evitar ese tipo de ataques es necesario que si la variable es numerica castearlo a int o si es una cadena usar mysql_real_escape_string