Bir açığın fixi ile alakalı soru

Scripteki açığı kapatmak için $vid=htmlspecialchars($_GET['vid']); yerine $vid = htmlspecialchars(mysql_real_escape_string($_GET['vid'])); yapın dediler ama mysql_real_escape_stringin sorgudan önceki son filtreleyici olması gerekmiyormu? burda ilk olmuyor mu?

union gibi sql injection lari engellemez yaptiginiz işlem. alanin tipine göre ve sorgu ifadenizi düşünerek yapmaniz gerekiyor.mesela $_GET["vid"] alani int ise onu int olarak parse etmeniz gerek