La 1 ya te la respondieron, pero para que no te confudas


$this-> se utiliza en las class, para llamar una variable dentro de esa misma clase puede ser de ambito privado o publico.



ahora te respondo la 2

mysql_real_escape_string es para darle mas seguridad a las variables que vamos a enviar a la base de datos, lo que hace esta funcion es agregar \ a lo siguiente: \x00, \n, \r, \, ', " y \x1a



ejemplo:

$var = "Jaun Carlos"; // Imagina que esta variable se optiene via get o post
$var = mysql_real_escape_string($var);

$sql = "SELECT * FROM users WHERE name = '{$var}' LIMIT 1";

Esto quedaria SELECT * FROM users WHERE name = 'Juan Carlos' LIMIT 1

Pero si en var pondriamos Juan 'El grande' Carlos

La sentencia sql seria esta otra

SELECT * FROM users WHERE name = 'Juan \'El grande\' Carlos' LIMIT 1

Si o si hay que poner los ' ', en el where para darle mas seguridad.