Te permite incluir caracteres dentro de un campo que, de otra forma, generarían error en la consulta o permitirían a otros usuarios abusar de la falta de seguridad de tu script, por ejemplo, supongamos que tu consulta es:

INSERT INTO usuarios SET nombre = '$nombre'

Sin mysqli_real_escape_string y con los siguientes valores para $nombre:

"James O'Neal" - La comilla simple generará un error de sintáxis... por cadena no terminada
"Triby'; UPDATE usuarios SET admin = 1 WHERE nombre = 'Triby'; '" - Se inserta el usuario y, de paso, obtiene permisos de administrador... claro, tus tablas pueden tener otra estructura, pero es sólo un ejemplo para que veas la fragilidad de un script sin esta pequeña función.