Você precisa chamar esta função ao construir consultas SQL com literais de string.
Você não deve chamá-la em nenhum outro lugar.

O objetivo de chamar esta função é evitar que você execute SQL como SELECT * FROM Students WHERE Name = 'Robert'); DROP TABLE Students;--' .
mysql_real_escape_string irá escapar do ' caractere para que a string maligna seja tratada inteiramente como uma string.