Únicamente debes usarlo en una variable y con una conexión abierta.
En el manual hay varios ejemplos de su uso.
Esta es una forma para evitar poner la función en cada variable:
www.php.net/manual/es/function.mysql-real-escape-string.php#97933
Muy muy sencillo. La variable $name pasa por la clase y la devuelve "limpia" con mysql_real_escape_string.