For at escape-parametre skal gå ind i en SQL-forespørgsel skal du ikke brug addslashes, men mysql_real_escape_string
.
Eksempel:
<?php
$param = mysql_real_escape_string($_GET['param']);
$query = "SELECT f1, f2 FROM atable WHERE f3 = '$param' ";
// these single quotes here are essential !! ^ ^
// if you leave out the quotes you **will** suffer SQL-injection.
Dette er den korrekte måde at undslippe SQL-parametre.
Eller endnu bedre brug PDO med forberedte sætninger, så behøver du slet ikke at undslippe.