Om parameters te laten ontsnappen om in een SQL-query te gaan doe je dat niet gebruik addlashes, maar mysql_real_escape_string .
Voorbeeld:
<?php
$param = mysql_real_escape_string($_GET['param']);
$query = "SELECT f1, f2 FROM atable WHERE f3 = '$param' ";
// these single quotes here are essential !! ^ ^
// if you leave out the quotes you **will** suffer SQL-injection.
Dit is de juiste manier om aan SQL-parameters te ontsnappen.
Of nog beter, gebruik PDO met voorbereide statements, dan hoef je helemaal niet te escapen.