Jusqu'a présent personellement je n'ai trouvé aucun moyen de bypasser ce genre de protection mais encore une fois ça dépend de beaucoup de chose.
Sur un formulaire de connexion, perso je ne pense pas être capable de bypasser quoi que se soit, par contre si ta requête est plutôt:
$id = mysql_real_escape_string(htmlspecialchars($_GET['membre']));
mysql_query("SELECT * FROM membres WHERE id = ".$id);
Dans ce cas là, tu ne sera pas protegé malgre l'utilisation de ces fonctions; on peut très bien faire une injection SQL (union par exemple), sans utiliser le moindre guillemet ou caractère spécial.
Et la variable n'est pas vérifiée ça passera.
Un intval règle le problème (oui pour les puristes (on m'avait même dit que je devais faire une regex, et vérifier que le nombre ne soit pas trop haut... XD), certains trucs passeront mais j'aimerai qu'on me montre une fois si l'on peut faire une injection SQL sans la moindre lettre rien qu'avec des chiffres, ça risque d'être dur... XD).
Enfin je ne suis franchement pas l'expert en la matière. Si les experts peuvent confirmer ou corriger ce que je dit, ça serait sympa. ^^