C'est quelque peu efficace, mais ce n'est pas optimal - toutes les données que vous recevez dans _GET et _POST n'iront pas dans la base de données. Parfois, vous voudrez peut-être l'afficher sur la page à la place, auquel cas mysql_real_escape_string ne peut que nuire (à la place, vous voudriez des entités html).
Ma règle d'or est de n'échapper à quelque chose qu'immédiatement avant de le placer dans le contexte dans lequel il doit être échappé.
Dans ce contexte, vous feriez mieux d'utiliser simplement des requêtes paramétrées ; l'échappement se fait automatiquement pour vous.
