Hola,
No. En realidad no se le aplica "Escapar" a la consulta SQL, sino a los elementos que la conforman.
Es decir, no se hace algo como esto:
Código PHP:
$titulo = $_POST['titulo'];
$consultaSql = Escapar("SELECT * FROM enlaces WHERE titulo = '$titulo'");
Sino que se hace algo como esto otro:
Código PHP:
$titulo = Escapar($_POST['titulo']);
$consultaSql = Escapar("SELECT * FROM enlaces WHERE titulo = '$titulo'");
Sigo el manual de PHP, la función:
mysql_real_escape_string, concretamente el ejemplo número 2: "An example SQL Injection Attack".