mysql_escape_stringって$sql対してやればいいのですか?

$sql = ちょめちょめ

mysql_query($sql);