intenta usando esta funcion con los datos enviados por form
Código PHP:
function mysql_escape($cadena) {
if(get_magic_quotes_gpc() != 0) {
$cadena = stripslashes($cadena);
}
return mysql_real_escape_string($cadena);
}
pero es extraño, por que al final es lo mismo, usando stripslashes, pero prueba, yo lo tengopuesto y no tengo sql injection
Un saludo