Puede mejorar.

Dependiendo del servidor SQL donde se pretenda insertar datos, hay funciones que son preferibles a utilizar addslashes, por ejemplo, mysql tiene mysql_real_escape_string(), postgresql tiene pg_escape_string().

Cuando no hay nada mejor disponible, entonces addslashes puede funcionar bien, sin embargo, y nuevamente, dependiendo del motor SQL, es posible que sea necesario agregar alguna validación extra para escapar caracteres que addslashes() no escapa.

Además del tema con los motores SQL, en mi particular, es preferible usar htmlentities() a utilizar htmlspecialchars()

Finalmente, al menos yo, no le veo mucho sentido a la utilidad del segundo parámetro, si es una función de validación implica que todo dato o cadena que se valide con esa función no es confiable por dicha razón, no tiene sentido asumir que los datos que pasen por la función serán ya válidos a nivel html. Claro, tampoco se bajo qué condiciones pretendas utilizar la función así que es posible que si tenga sentido el tener ese segundo parámetro.