Bueno se puede utiliar para ambas cosas.

Pero las inyecciones sql solo atacaran a tus consultas Selects y no a tus INSERTS, UPDATES o DELETES.

Supongamos nos intentan meter una inyeccion de este tipo en la parte de acceso
al sistema(LOGIn)

$_POST['username'] = 'aidan';
$_POST['password'] = "' OR ''='";

-------------------------------------------------
Aca es donde recuperamos el codigo
$user = $_POST['username'] ;
$pass = $_POST['password'] ;

-De este modo no estariamos protejido..

$query = "SELECT * FROM users WHERE user='{$user }' AND password='{$pass }'";
mysql_query($query);


-Pero de este modo si:

$query = "SELECT * FROM users WHERE user='{mysql_real_escape_string($user) }' AND password='{mysql_real_escape_string($pass)}'";
mysql_query($query);