No, no es seguro, usa mysql_real_escape_string (o una función equivalente de la base de datos que estás usando)