Hola

Tratare de dar una explicación lo más simple posible.
Cada lenguaje tiene caracteres o comandos especiales, que cuando los usas, es interpretado como código ejecutable.
Por nuestro desconocimiento de lo anterior usamos esos caracteres, código ó no bloqueamos que un usuario ejecute algo que nosotros no deseamos, en ese caso, el programa hace algo completamente distinto a lo que nosotros queremos. Aquí es donde está la inseguridad, en que algún usuario que si conozca ese código interpretable o (vulnerabilidades), lo puede usar en nuestra contra.
Teniendo eso en mente, buscamos protegernos lo más posible.
Vamos al caso específico de lo que has planteado.

mysql_real_escape_string()
Los caracteres q escapa, son los que pueden ser utilizados para cambiar lo que nosotros queremos que realice la sentencia SQL

Entonces, filtramos los datos que nos envían, para tener certeza de que no nos estan enviado un código ejecutable y si lo fuese, hacemos que no sea interpretado como codigo ejecutable sino como un texto simple.
Así aumentamos nuestra certeza de que no nos perjudicaran.

Revisa esto
http://dev.mysql.com/doc/refman/5.0/...ng-syntax.html

Espero te sea de ayuda.