Зачем нужны функции, специфичные для БД, такие как mysql_real_escape_string()? Что это может сделать, что addlashes() не делает?
Игнорируя на данный момент превосходную альтернативу параметризованных запросов, является webapp, который использует addlashes(), исключительно все еще уязвимый для SQL-инъекции, и если да, то как?