function maskInput($input) {

if (!get_magic_quotes_gpc()) {
       $input = addslashes($input);
      }
      $input = mysql_real_escape_string(trim($input));

return $input;

} // maskInput()

Falls magic_quotes deaktiviert ist, werden " und ' per addslashes() maskiert, falles es aktiviert ist geht es automatisch.

magic_quotes_gpc betrifft nur Variablen, die über Post,Get,Cookie (also vom Browser an den Webserver) reinkommen. Wenn du der Funktion also einfach so nen String gibst, wird der trick nach hinten losgehen...

(vielleicht liegt da der hund begraben, denn der code scheint korrekt zu sein...)