No, non è sicuro. Usa mysql_real_escape_string() invece. Non dovrebbe aggiungere nulla oltre a ciò che serve per sfuggire alla stringa.
http://php.net/mysql-real-escape-string
Questo vale anche per altri database:usa la funzione di escape specifica dell'estensione.
