Почему советуют использовать
mysql_real_escape_string()
или mysql_escape_string()
а не addslashes()?

Можно ли воспользоватся тем что используется addslashes()?

'SELECT `username` FROM `member` WHERE `id` = \' '. addslashes($str) .' \'

хммм

сделал

$a = "\x1a";

echo "slesh ".addslashes($a).'<br>';
echo "mysql ".mysql_real_escape_string($a);

результат

slesh 
mysql \Z

В 1ом слэш не добввился просто
а во 2ом не понел откуда \Z взялось oO