mysqli_real_escape_string deve estar ciente do conjunto de caracteres da conexão para que possa escapar caracteres especiais corretamente. Se você usa um conjunto de vários bytes, o mysqli deve saber. Caso contrário, uma injeção de sql é possível . Veja esta resposta para mais detalhes.

No entanto, não use! Use Declarações Preparadas !