Não, não é seguro. Use mysql_real_escape_string() em vez de. Não deve adicionar nada além do necessário para escapar da string.

http://php.net/mysql-real-escape-string

Isso se aplica a outros bancos de dados também:use a função de escape específica da extensão.