Ja.
Noch besser ist es, wenn Du die Verbindungsresource mit angibst.
PHP-Code:
<?php
$mysql = mysql_connnect(...
mysql_select_db( , $mysql ...
...
$y = mysql_real_escape_string($x, $mysql);
Noch besser ist es, wenn Du named/positioned parameters verwendest und so die SQL Anweisung von den eigentlichen Nutzdaten trennst
PHP-Code:
<?php
$pdo = new PDO(...
$stmt = $pdo->prepare('INSERT INTO xyz (a,b,c) VALUES(?,?,?)');
$stmt->execute(array($_POST['a'], $_POST['b'], $_POST['c']));