Hola , puedes usar PDO con statements procedures , con eso te evitas casi en su totalidad las inyecciones ya que genera un filtrato total de los valores que le pasas , mysql_real_escape_string , sigue siendo insegura.

Saludos