Le bon endroit pour mysql_real_escape est juste avant vous envoyez la requête pour enregistrer les données.Toute autre instance n'importe où ailleurs dans le script est un défaut de conception majeur.
Cela devrait de préférence dans une propre classe db bien sûr.