la funcion solo es para consultas no?? te has olvidado de mysql_real_escape_string o lo pasas despues??