Не, не е безопасно. Използвайте mysql_real_escape_string()
вместо. Не трябва да добавя нищо извън необходимото за избягване на низа.
http://php.net/mysql-real-escape-string
Това важи и за други бази данни:използвайте специфичната за разширението escape функция.