Exacto, usa mysql_real_escape_string() para evitar la injección SQL. Con eso y limitando los valores que contiene tu variable... no tendrás problemas.