mysql_real_escape_string tek başına yeterli gibi gözüküyor, "select, from" gibi kelimeleri replace edersen zararını görmezsin.