Примерно для наглядности:
WHERE `row` = '".mysql_real_escape_string($test)."' // не найс
$sql= "WHERE `row` = '%s'";
sprintf($sql, mysql_real_escape_string($test)); // cool как по мне WHERE `row` = '".mysql_real_escape_string($test)."' // не найс
$sql= "WHERE `row` = '%s'";
sprintf($sql, mysql_real_escape_string($test)); // cool как по мне