¿Qué métodos existen para evitar la inyección en MySQL, aparte del mysql_real_escape_string? Yo uso la función md5, pero no es posible para todos los casos.
http://www.php.net/manual/es/security.database.sql-injection.php
reemplaza cualquier comita simple ( ' ) y ya tienes el 99% solucionado.
' or '1'='1
