För att escape-parametrar ska gå in i en SQL-fråga gör du inte använd addslashes, men mysql_real_escape_string
.
Exempel:
<?php
$param = mysql_real_escape_string($_GET['param']);
$query = "SELECT f1, f2 FROM atable WHERE f3 = '$param' ";
// these single quotes here are essential !! ^ ^
// if you leave out the quotes you **will** suffer SQL-injection.
Detta är det korrekta sättet att undkomma SQL-parametrar.
Eller ännu hellre använd PDO med förberedda satser, då behöver du inte fly alls.