Es que para evitar la inyección, no necesitas filtrar todas las variables que vengan por $_POST y $_GET. Sólo tienes que filtrar los datos que vayas a usar en las consultas (además, si es de tipo numérico en lugar de usar mysql_real_escape_string debes hacer un cast a número)