Cita:
Iniciado por leonardo308 
Validar del lado del cliente no evita las injecciones SQL, aunque para responderte a tu pregunta puedes utilizar expresiones regulares y alli indicar que caracteres quieres aceptar. e aqui un ejemplo basico.
Código Javascript
:
Ver original<script>
function validar(e,expresion_regular){
return expresion_regular.test(String.fromCharCode(e.which));
}
</script>
<input type="text" onkeypress="return validar(event,/[a-z]/)" />
Lo unico que tienes que cambiar es la expresion regular /[a-z]/ en cada campo de texto.
Con respecto a mysql_real_escape_string(), esa funcion esta descontinuada.
Yo personalmente utilizo FILTER_SANITIZE_SPECIAL_CHARS, asi el usuario escribe lo que sea y queda libre de injeccion sql.
Tambien puedes utilizar MySQLi o PDO_MySQL.
Esta desaconsejado no discontinuada (como puede ser el caso de eregi()), lo que no es lo mismo.
Ya mencioné la extensión filter, pero lamentablemente muchos servidores no la tienen habilitada, además de que en muchos otros casos utilizan versiones viejas de php.
Asi que como alternativa todavía es válida.