Przeczytałem dzisiaj, że aby zabezpieczyć się przed sql injection należy wyłączyć na serwerze magic_quotes_gpc i używać w zapytaniach mysql_escape.
Moje pytanie jest takie: czy przy każdym zapytaniu należy używać tej funkcji? Czy może dane poufne jak hasło czy login tak, a na przykład jakieś inserty do mniej ważnych tabel nie?

zawsze, hasła nie musisz jeśli je dajesz w md5() , dodatkowo jeśli dane od usera to tylko liczby wystarczy jak dasz
$x=(int)$_GET['dane'];

W dziale php jest przypięty temat o sql injection , poczytaj.