Você precisa chamar esta função ao construir consultas SQL com literais de string.
Você não deve chamá-la em nenhum outro lugar.
O objetivo de chamar esta função é evitar que você execute SQL como
SELECT * FROM Students WHERE Name = 'Robert'); DROP TABLE Students;--'
.mysql_real_escape_string
irá escapar do '
caractere para que a string maligna seja tratada inteiramente como uma string.