También puedes usar (recomendable):

stripslashes()
http://www.php.net/manual/es/function.stripslashes.php

Y ten mucho cuidado con pasar sentencias SQL completas por el URL .. Imagina que alguien altera esa sentencia SQL.

Usa variables para definir partes de tu sentencia ..

Por ejemplo:

nose.php?buscarencampo=autor&quebuscar=valor

Y en tu script, puedes validar si "buscarencampo" está en los nombres de los campos de esa tabla a buscar, para -NO- permitir que se ingrese un dato adulterado.

Un saludo,