mysql_real_escape_string requiere de la variable de conexion para funcionar o te deja en blanco las variables, o al menos eso he comprobado, prueba asi:

donde la variable $conexion es tu variable de conexion a la BD, por cierto, utiliza mysqli en todo y no mescles mysql con mysqli, porque la primera esta descontinuada, por eso te las modifique alli, pero tendrias que modificar tu consulta completa

vieja: http://php.net/manual/es/function.my...ape-string.php

Nueva: http://php.net/manual/es/mysqli.real-escape-string.php