Esta função irá escapar o unescaped_string, assim será seguro coloca-la na função mysql_query().
Nota: mysql_escape_string() não escapa % e _.
Esta função é identica a mysql_real_escape_string() exceto que mysql_real_escape_string() precisa de um identificador de conexão e escapa a string de acordo com o conjunto atual de caracteres atual. mysql_escape_string() não precisa de um identificador de conexão e não respeita o conjunto atual de caracteres.
Veja também mysql_real_escape_string(), addslashes() e a diretiva magic_quotes_gpc.