パラメータをエスケープしてSQLクエリに入れるには、しません。 addlashesを使用しますが、mysql_real_escape_string
。
例:
<?php
$param = mysql_real_escape_string($_GET['param']);
$query = "SELECT f1, f2 FROM atable WHERE f3 = '$param' ";
// these single quotes here are essential !! ^ ^
// if you leave out the quotes you **will** suffer SQL-injection.
これは、SQLパラメータをエスケープする正しい方法です。
または、プリペアドステートメントでPDOを使用する方がよい場合は、エスケープする必要はまったくありません。