To je poněkud efektivní, ale není to optimální – ne všechna data, která obdržíte v _GET a _POST, půjdou do databáze. Někdy jej možná budete chtít zobrazit na stránce, v takovém případě může mysql_real_escape_string jen ublížit (místo toho byste chtěli htmlentity).
Mým pravidlem je uniknout něčemu pouze bezprostředně před tím, než to vložím do kontextu, ve kterém je potřeba uniknout.
V tomto kontextu by bylo lepší použít pouze parametrizované dotazy – pak se escapování provede automaticky za vás.