مرحبا

Also ist die Problematik hier das die Variable potenziell ' / usw. enthalten könnte?

Probiere mal aus, was passiert, wenn du in die Beschreibung folgendes eingügst.

<script>  
alert('Du wurdest gehackt!');  
</script>

Wenn das funktioniert, dann bist du anfällig für das sogenannte Cross-Site-Scripting.

Also soll ich überall wo ich Variablen an die DB übergebe diese mit mysql_real_escape_string() überprüfen bzw bei Zahlen intval()/floatval()?

Nein, du musst _jeden_ Kontextwechsel erkennen und richtig behandeln, immmer, nicht nur manchmal.
mysql_real_escape_string(); musst du verwenden, wenn du etwas in die Datenbank schreibst. Wenn du HTML erzeugst, muss es entsprechend behandelt werden, mit htmlspecialchars(); z. B..

mfg