Yo, siendo sincero, no me fijo en que casos usar sprintf o no, lo uso siempre y me ahorro cualquier tipo de problema que pueda haber. Total cuando te acostumbras es muy facil!

Sin embargo, a la hora de usar mysql_real_escape_string si que me fijo, q lo aplique a datos a los que valga la pena.

El ejemplo del nombre del autor es muy claro, lo que siempre habra en el '%s" sera una cadena. Pero en el caso de querer poner un campo edad, tendrias que poner un numero no es asi? Entonces deberias poner '%d' (decimal), y si alguien pone en ese campo "OR 1=1" entonces todo falla y no se imprime de manera correcta, por lo que la consulta no se hace.

Saludos.