Los comodines solo tienen efecto cuando se usan en SELECT consultas y luego solo cuando se usan ciertas funciones. Entonces, para insertar el código, estará bien usar mysql_real_escape_string() ya que no tendrán ningún efecto.
Para hacerlo mejor, le recomendaría que use PHPs PDO para que pueda usar el enlace de parámetros. El siguiente ejemplo es de el manual de PHP :
<?php
$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':value', $value);
// insert one row
$name = 'one';
$value = 1;
$stmt->execute();
// insert another row with different values
$name = 'two';
$value = 2;
$stmt->execute();
?>
