גם בשליפה (SELECT) צריך להשתמש בmysql_real_escape_string.

תתקדמו בבקשה..
http://php.net/manual/en/pdostatement.bindparam.php

זה מאוד תלוי בשאילתה שלך, אם אתה עושה שליפה שאין בה שום קלט אין לך סיבה להשתמש בmysql_real_escape_string.

וכמו שxPerfection אמר, אם אתה רוצה באמת לעבוד בטוח אז תעבוד עם מחלקה שעובדת בצורה בטוחה עם בסיסי נתונים, כמו PDO שעושה עבודה מצויינת.

אני שמח שזה הפך לדיון נחמד כאן בפורום אבל מצאתי פתרון בצד לקוח, שיזהה אם קיים \ וימחק אותו.
אבל מעולם לא שמעתי על המחלקה PDO ואשמח לבדוק אותה מקרוב תודה !

וראיתי שמשהו אמר שמערכות ניהול תוכן כמו JOOMLA ו WP ו DRUPAL מבטלות את ה MQ דרך PHP,
למישהו יש מושג איך הם עשו את זה? כי לפי תוצאות החיפוש שלי שום דבר לא עבד כמו שצריך.

get_magic_quotes_gpc, אם הוא מחזיר 1 אז עושים stripslashes.

אתה בטוח אבל שזאת באמת הבעיה?
לאו דווקא שזה לא נכון, אבל זאת לא חייבת להיות בהכרח הבעיה - מה שאתה מתאר יכול לקרות מהמון סיבות אחרות.

ברוב השרתים השיתופיים אפשר לבטל אותו עם php_flag ב htaccess
לאחר מכן בקוד כמו שxPerfection כתב אפשר לבצע בדיקה ואם הוא עדיין מופעל(כי בשרת הספציפי הזה הHTACCESS לא עבד) אפשר להשתמש בstripslashes

כתבתי פעם הסבר קצר על HTACCESS
http://www.hosts.co.il/forums/showthread.php?t=86350