Като начало Винаги ънескейпвай входящите параметри от $_POST/$_GET.
А дали да го направиш това се проверява с get_magic_quotes_gpc(). Това е една адски тъпа опция на php.ini, която много дразни. Защо по дяволите за всеки реяукест енджина трябва да предполага, че ще искам да вкарвам в БД, при това с addslashes() ?! Че и на доста хостове е включено тва.
Понеже по default ПХП е настроен (май последните версии не беше така..) автоматично да изпълнява addslashes() върху входните данни. И ти с mysql_real_escape_string() му правиш допълнителен ескейпинг. Познай на 3 наклонени черти двойното ескейпване до колко черти води в крайна сметка :) .

Още в началото ако get_magic_quotes_gpc() върне Труе, тогава правиш stripslashes() на $_POST променливата. После я мъсялреалесцапестринг-ваш и т.н.

CODE

1 2 3 4 5 6 7 8 9 10 11 12 13 14

private static function _remove_magic_quotes($s) {         if (get_magic_quotes_gpc()) return stripslashes($s);         return $s;     }     public static function getString($p, $d=false) {         if (isset($_REQUEST[$p])) {             $ret = self::_remove_magic_quotes($_REQUEST[$p]);             if (APP_IS_UTF8 && !Strings::isASCII($ret) && !Strings::utf8IsValid($ret)) $ret = $d;         } else {             $ret = $d;         }         return $ret;     }

Аз ползвам нещо такова в един клас. Редът с APP_IS_UTF8 за мен е legacy, понеже приложението може и да не е utf8, за някакви стари неща, игнорирай го.

Така получавам 'неопетнен' параметъра и нататък нормално си го escape-вам (ако ще влиза в БД).

не си разбрал правилно, ти правиш strip_slashes на изхода от mysql, а не трябва. При включен magic GPC (Get/Post/Cookie) strip_slashes се прави на входа на PHP скрипта, а после се прави mysql_real_escape_string на данните, които записвате в SQL