No necesitas usar esa función que propones si usas mysql_real_escape_string(), ya que con esa función se escapan (no se borran) los caracteres especiales de modo que no pueden inyectar código SQL.