Hogyan helyesek az aposztrófok ebben a mysql kifejezésben?

1. verzió:

mysql_query("SELECT useremail FROM users WHERE username = '".mysql_real_escape_string($_POST['nev'])."'");

2. verzió:

mysql_query("SELECT `useremail` FROM `users` WHERE `username` = '".mysql_real_escape_string($_POST['nev'])."'");

Az 1. verziót egy régi programozó munkájában láttam, a 2. verziót pedig a neten. Az utóbbi tényleg biztonságosabb?