Dummerweise finde ich die Quelle nicht wieder (Stackoverflow?)...

php.net selbst warnt:

Achtung Security: the default character set

The character set must be set either at the server level, or with the API function mysqli_set_charset() for it to affect mysqli_real_escape_string(). See the concepts section on character sets for more information.

soll also heißen, wenn die Zeichenkodierung nicht korrekt gesetzt ist, dann kann das zu Problem führen. Da mysqli_real_escape_string() aber nicht abbricht wenn die Zeichenkodierung nicht oder nicht korrekt gesetzt ist (letztes kann nicht wirklich geprüft werden) ist es eben nach Ansicht der PHP-Entwickler nicht sicher.