Nej, det är inte säkert. Använd mysql_real_escape_string() istället. Det bör inte lägga till något utöver vad som krävs för att undkomma strängen.
http://php.net/mysql-real-escape-string
Detta gäller även andra databaser:använd den tilläggsspecifika escape-funktionen.