Ziyaretçiden aldığım ve mysql'a işlemediğim verileri (formdan gelenler, session ve cookie) htmlentities($_GET['veri']) ile filtrelemem bir açık oluşturur mu?

Bir de Mysql ile ilgilisi olmayan verileri mysql_real_escape_string() ile filtrelemem mantıklı mı?

En sade şekilde filtrelemek istiyorum, anlamadığım karışık fonksiyonları kullanmak istemiyorum