Cuando habla solo a los valores se refiere a esto:
Código PHP:
$usuario = mysql_real_escape_string($_POST['usuario']);
$mesaje = mysql_real_escape_string($_POST['mensaje']);
mysql_query("INSERT INTO table (Usuario, Mensaje) VALUES ('$usuario', '$mensaje')");
Como ves, solo se están escapando los valores, no toda la consulta.
Sobre la otra pregunta, si te refieres a cual es mejor entre addslashes y mysql_real_escape_string, la mejor es mysql_real_escape_string