La regla es simple: nunca confies en el contenido que te envia el usuario, nunca. Cada que vayas a enviar una variable a la base de datos debes de escaparla y asegurarte que el tipo de dato que quieras enviar sea ese, si va a ser un número, haz un cast a un integer, si es una cadena de texto, escapala con mysql_real_escape_string, etc.

No es cuestión de cuando hagas un INSERT, si no es siempre que hagas una consulta a tu BDD.

Saludos.