PHP'de herkesin bildiği sql injection ver html karakter açıkları zaten mevcut. Bunlarında senin de gösterdiğinden daha farklı korunma yolları var.
Örneğin kesinlikle benim her projemde kulladığım strip_tags benim vazgeçilmezim açıkcası.
Ama mysql_real_escape_string i önermiyorum açıkcası. Büyük projeler, sistemin
hızlı çalışması açısından tek bir sql sütunu bile fazladan çekilmezken. Bu fonksiyonda sorguyu oldukça yavaşlatır. Tabikide bunu uyguladığın bir sisteme 100 200 kişi girerse
bu anlaşılmaz fakat, 100k 200k lık sitelerde acayip belli olur.
Ayrıyetten bu gösterdiğin iki örnek haricinde daha gelişmiş saldırı girişimleri oluyor.
Onlar bunun yanında hiç sayılır :)