Además del mysql_real_escape_string siempre es recomendable validar todas las variables, si tiene que ser un valor numerico, que sólo sean números; si tiene que tener una longitud en concreto, que la tenga; si tienen que ser sólo letras y números, que lo sean; etc...

Y si quieres evitar que borren o modifiquen datos en la BDD, puedes usar un usuario que sólo tenga permisos para realizar consultas.