Pues si todos tus campos los pasas por mysql_real_escape_string() no veo como puede haber inyeccion, algo debes tener por ahi que quedo sin esa proteccion.

Muestra aqui todo el script que es sujeto de ataque al subirlo al servidor y ya veremos donde esta el fallo.