El lugar correcto para mysql_real_escape es justo antes envía la consulta para guardar los datos. Cualquier otra instancia en cualquier otra parte del script es una falla de diseño importante.
Eso debería estar preferiblemente en una clase de base de datos propia, por supuesto.