====== mysql_real_escape_string ======
Escapes special characters in a string for use in a SQL statement

http://tw.php.net/manual/en/function.mysql-real-escape-string.php

要解決 SQL injection 並不是用 addslashes()，而是用 mysqli 提供的 prepare + execute，或是用 mysql_real_escape_string()。