Validar del lado del cliente no evita las injecciones SQL, aunque para responderte a tu pregunta puedes utilizar expresiones regulares y alli indicar que caracteres quieres aceptar. e aqui un ejemplo basico.
Código Javascript
:
Ver original<script>
function validar(e,expresion_regular){
return expresion_regular.test(String.fromCharCode(e.which));
}
</script>
<input type="text" onkeypress="return validar(event,/[a-z]/)" />
Lo unico que tienes que cambiar es la expresion regular /[a-z]/ en cada campo de texto.
Con respecto a mysql_real_escape_string(), esa funcion esta descontinuada.
Yo personalmente utilizo FILTER_SANITIZE_SPECIAL_CHARS, asi el usuario escribe lo que sea y queda libre de injeccion sql.
Tambien puedes utilizar MySQLi o PDO_MySQL.