За избягване на параметри за влизане в SQL заявка не използвайте добавяне на наклонени черти, но mysql_real_escape_string .
Пример:
<?php
$param = mysql_real_escape_string($_GET['param']);
$query = "SELECT f1, f2 FROM atable WHERE f3 = '$param' ";
// these single quotes here are essential !! ^ ^
// if you leave out the quotes you **will** suffer SQL-injection.
Това е правилният начин за избягване на SQL-параметри.
Или още по-добре използвайте PDO с подготвени оператори, тогава изобщо не е нужно да избягвате.
