Per eseguire l'escape dei parametri in una query SQL non lo fai usa addlashes, ma mysql_real_escape_string .
Esempio:
<?php
$param = mysql_real_escape_string($_GET['param']);
$query = "SELECT f1, f2 FROM atable WHERE f3 = '$param' ";
// these single quotes here are essential !! ^ ^
// if you leave out the quotes you **will** suffer SQL-injection.
Questo è il modo corretto per eseguire l'escape dei parametri SQL.
O, ancora meglio, utilizzare PDO con istruzioni preparate, quindi non è necessario eseguire l'escape.
