O lugar certo para mysql_real_escape é bem antes você envia a consulta para salvar os dados. Todas as outras instâncias em qualquer outro lugar no script são uma grande falha de design.

Isso deve preferencialmente em uma própria db-class, é claro.