Použil bych array_walk() funkce. Je vhodnější, protože upravuje POST superglobal, takže všechna budoucí použití jsou dezinfikována.
array_walk_recursive( $_POST, 'mysql_real_escape_string' );
Ujistěte se však, že se nespoléháte na to, že tato linka zcela ochrání vaši databázi před útoky. Nejlepší ochranou je omezení znakových sad pro určitá pole. Př. E-maily neobsahují uvozovky (takže povolte pouze písmena, čísla, @, pomlčky atd.) a jména v nich nemají závorky (povolte tedy pouze písmena a vybrané speciální znaky)
UPRAVIT: Změněno array_walk() na array_walk_recursive() díky návrhu @Johan. Rekvizity k němu.