Yo te sugeriría mejor que vayas al manual de referencia de PHP, que tiene un capitulo especifico dedicado al tema...
Manual de PHP - Seguridad - Seguridad en bases de datos - Inyección de SQL
El articulo es largo, pero muy bien escrito.
Posdata: Solo escapar los datos recibidos no resuelve el problema. Esa función apunta a impedir que los datos insertados rompan la sintaxis de la SQL original, pero no evitará que haya sql-injection.
Cita: mysqli::real_escape_string -- mysqli_real_escape_string — Escapa los caracteres especiales de una cadena para usarla en una sentencia SQL, tomando en cuenta el conjunto de caracteres actual de la conexión