Para escapar de los parámetros para entrar en una consulta SQL no usa barras adicionales, pero mysql_real_escape_string .
Ejemplo:
<?php
$param = mysql_real_escape_string($_GET['param']);
$query = "SELECT f1, f2 FROM atable WHERE f3 = '$param' ";
// these single quotes here are essential !! ^ ^
// if you leave out the quotes you **will** suffer SQL-injection.
Esta es la forma correcta de escapar de los parámetros SQL.
O incluso mejor, use PDO con declaraciones preparadas, entonces no tiene que escapar en absoluto.
