Claro que se pueden hacer sql injection, y de hecho es peligroso no utilizar la función mysql_real_escape, que para eso se inventó.