これはある程度効果的ですが、最適ではありません。_GETおよび_POSTで受信するすべてのデータがデータベースに格納されるわけではありません。代わりにページに表示したい場合があります。その場合、mysql_real_escape_stringは害を及ぼすだけです(代わりに、htmlentitiesが必要です)。
私の経験則では、エスケープする必要のあるコンテキストに置く直前にのみ、何かをエスケープします。
このコンテキストでは、パラメータ化されたクエリを使用する方がよいでしょう。そうすれば、エスケープが自動的に行われます。