Лучший способ - вообще не смешивать SQL с предоставленными пользователем данными, используя подготовленные операторы.
В вашем случае (при условии, что id - это число), просто используйте $id = intval($_POST['id']);.С простым целым числом вы ничего не можете ввести.Вам даже не нужно mysql_real_escape_string() n в этом случае.
Для строковых аргументов достаточно использовать mysql_real_escape_string() - но никогда не забывайте ставить в кавычки аргумент в строке SQL!