1.
mysql_real_escape_string учитывает ещё кодировку соединения.
Зачем что-то придумать если уже всё есть?
Уже давно не рекомендуется использовать чистые функции mysql, используй pdo,mysqli или orm.
Там есть preparement statement, не знаю как верно переводятся, созданы избавится от проверки данных через функцию, вместо этого данные в запрос подставляются не склейкой, а заменой нудных значений на автоматически отфильтроные данные, тем самым ещё улучшая читаемость.
Примерно так выглядит
$q = CreateQuery:: ( 'SELECT * FROM test WHERE username = :username');
$q->username = $_POST['username'];
$q->execute();
2.
$replace_list1 = '!~`\',.()*&^:;%$#@"№?=+-\\/|';"
$replace_list1 = str_split($replace_list1);
$col_names = str_replace($replace_list2, '', $_POST['col_name']);


Без приза не интересно .