Pour que les paramètres d'échappement entrent dans une requête SQL, vous ne le faites pas utilisez des addlashes, mais mysql_real_escape_string .
Exemple :
<?php
$param = mysql_real_escape_string($_GET['param']);
$query = "SELECT f1, f2 FROM atable WHERE f3 = '$param' ";
// these single quotes here are essential !! ^ ^
// if you leave out the quotes you **will** suffer SQL-injection.
C'est la bonne façon d'échapper aux paramètres SQL.
Ou encore mieux, utilisez PDO avec des instructions préparées, vous n'aurez alors pas du tout à vous échapper.
