変数バインディングを使ってもSQLインジェクション対策にならないで書いた、Shift_JISなどの文字エンコーディングを使用した場合にはmysql_real_escape_string()を使用してもSQLインジェクションが発生しうる問題が修正されたとアナウンスされています*1。

• Changes in release 4.1.20
• Changes in release 5.0.22

Changelogを見て初めて知ったのですが、MySQL 5.0.1以上であればNO_BACKSLASH_ESCAPESオプションを使用するとバックスラッシュによるエスケープを止めることができるそうです。
その場合、シングルクォートのエスケープは

\'

ではなく

''

のSQL標準形式で行う事になるらしいです。
mysql_real_escape_string()はちゃんと対応してくれているんでしょうか。