Ваш вопрос заставил поискать заново про данную функцию. и похоже я убедился том что ее достаточно но с несколькими оговорками. 1) выключить волшебные кавычки дабы двойного экранирования не происходило 2) числовые им не проверять 3) дополнительно самому экранировать % на тот случай если есть ЛАЙК.

все в топку все мои функции)))

п.с. но почему то все равно хочется хранить в пхп=файлах мылы.
хотя теперя понимаю что даю хакеру еще один путь вытащить мои имейлы))

спс всем)))

ну почему это я не понял?)))
я просто боялся что например этоn htmlspecialchars()
обходится тама в какойто кодировке кажется в ютф-8 заменой < и > на другое обозначение типа &something; и браузер воспримет их как < or >

я вот подумал что ' можно как нить тоже заменить что mysql_real_escape_string() не поймет их

теперя так не думаю)))

htmlspeciachars не имеет ни какого отношения к SQLi, она нужна для защиты от XSS и просто корректного отображения любого текста введенного пользователем.

не знаю лень все перечитывать, скажу лишь что mysql_real_escape_string применяется только для обработки текстовых данных, числовые должны просто приводится к нужному типу, это все!!! Для защиты от SQLi больше ничего не нужно!!!
Единственно что расширение mysql устарело, пора переходить на mysqli или pdo.