Segun tengo entendido con aplicar un mysql_real_escape_string() es suficiente, luego lei por ahi otro tipo de inyeccion que usaba algunas funciones mysql concat_ws() y group_concat() por lo que creo que estaría bien aplicar esto a tus variables:

$_POST['variable']=str_ireplace("concat_","concat-",$_POST['variable]);
$_POST['variable']=str_ireplace("_concat","concat-",$_POST['variable]);

Aqui encontre un post sobre esto: http://labxonk.blogspot.com/2009/07/...injection.html

Si alguien aporta algo más de seguridad en este tema, mejor que mejor, que seguro que algo me paso por alto......