Estou utilizando mysqli_real_escape_string corretamente?

$email = $_POST['email'];

$uid = $_POST['uid'];

$escape_email = mysqli_real_escape_string($connect, $email);

$escape_UID = mysqli_real_escape_string($connect, $uid);

 if(isset($email)){

 $sql = "SELECT * FROM accounts WHERE email = '$escape_email' and uid = '$escape_UID'";

Estou utilizando corretamente? Isso ajudará a evitar SQL Injections? Quais outras formas de evitar?