Visiblement il est possible de faire des attaques à travers mysql_real_escape_string().  Ce n'est donc pas la panacée pour vous protéger des attaques d'injection SQL.
(Permalink)