Jokertecken träder bara i kraft när de används i SELECT frågor och då endast vid användning av vissa funktioner. Så för att infoga koden går det bra att använda mysql_real_escape_string() eftersom de inte kommer att ha någon effekt.
För att göra det bättre skulle jag rekommendera att du använder PHPs PDO så att du kan använda parameterbindning. Följande exempel är från PHP-manualen :
<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// insert one row
$name = 'one';
$value = 1;
$stmt->execute();
// insert another row with different values
$name = 'two';
$value = 2;
$stmt->execute();
?>