Buenas a todos, soy habitual desarrollador de aplicaciones web en entorno c#.net y el tema de inyecciones sql en ese campo por medio de procedimientos almacenados y demas lo tengo listo pero resulta que actualmente me vienen varios proyectos en php , y toy un poco en bragas... he estado leyendo sobre el tema en php y parece que para evitar inyeccion dentro de lo posible deberia realizar lo siguiente:

1º mysql_real_escape_string a todos los parametros que vayan a parar a mi consulta.
2º prepared statements para la consulta
3º usar stored procedures en mi bd mysql.

seria suficiente, estoy equivocado ? gracias ;)