cuando utilizan la funcion siempre la "conectan" despues del where en la consulta, pero si tengo algo como esto:

$query="select ".$EXP." from ".$CM." order by ".$EXP." asc limit 1,100";

como haria para aplicarle el mysql_real_escape_string? o aqui no es necesario aplicarla?