Es como todo, tendrías que evaluar costo/beneficio... Esta función puede ser suficiente en algunos casos.

En este link, te pasan 3 opciones que son mejores que simplemente usar AddSlashes. Una es usar el mecanismo de escape de caracteres de cada proveedor de base de datos, por ejemplo mysql_real_escape_string(). La otra, usar PDO. Y la última, usar una librería de terceros.

http://devzone.zend.com/article/1918...-SQL-Injection

Yo uso PDO y la verdad, a pesar de que no hay mucho tutorial en internet, luego que le agarras la mano, es bastante útil. Lo recomiendo como buena practica.

Saludos