kann ich dann in meinem Fall den mysql_real_escape_string direkt auf die Variable $mysql anwenden, oder muss ich es auf jede Variable einzelnd anwenden?

$mysql enthält auch AND/OR anweisungen.