Barrapunto

De acuerdo en lo del nombre de la función. Supongo que la motivación de crear una nueva "real" que reemplace la antigua, es porque realmente tiene un comportamiento diferente en algunos casos. Sustituir el comportamiento rompe la compatibilidad hacia atrás.

Lo de no ponerlo por defecto en el mysql_query por otro lado sí tiene su sentido. Y es que no tienes que escapar toda la consulta, sino simplemente los datos que vengan por entrada de usuario.

Por poner un ejemplo, esto:

$producto = mysql_real_escape_string($_REQUEST['producto']);

$sql = "select id from PRODUCTOS where producto=$producto and categoria='nacional'";

$res = mysql_query($sql);

Sería correcto, si no he cometido algún fallo por tener el PHP oxidado. Pero, el siguiente código no funcionaría bien:

$producto = $_REQUEST['producto'];

$sql = "select id from PRODUCTOS where producto=$producto and categoria='nacional'";

$res = mysql_query(mysql_real_escape_string($sql));

porque se escaparían también las comillas de 'nacional' y eso no sería correcto.

Ten en cuenta que el objetivo de mysql_real_escape_string es impedir la inyección sql, precisamente previniendo que lo que devuelve se pueda interpretar como órdenes mysql.