Hay que usar mysql_real_escape_string.
El motivo es que se pueden introducir algunas secuencias de caracteres, además de las archiconocidas comillas -de lo único que se ocupa addslashes, además de las propias barras- que pueden permitir inyectar código.

El escenario concreto en que eso es posible lo desconozco, pero la motivación para usar mysql_real_escape_string es esa.