Anti SQL-Injection

Estou utilizando esta função contra injeções de SQL e gostaria de saber se apenas isso realmente protege:

function FilterText($str, $advanced = false) {
 if ($advanced == true) {
 return mysql_real_escape_string($str);
 }
 $str = mysql_real_escape_string(htmlspecialchars($str));
 return $str;
}

E quais outros tipos de injeções estou vulnerável? Como poderia proteger?