Eso que estás haciendo de enviar código SQL en un input[type='hidden'] es MUY PELIGROSO, ya que podría ser manipulado fácilmente para ejecutar otro código SQL no deseado. Tenlo muy en cuenta si quieres tener a salvo tu base de datos.

¿Por qué no usas, por ejemplo, una variable de sesión?
Por otro lado, si no consigues hacerlo con addslashes() y stripslashes(), puedes plantearte utilizar la función str_replace():