Un cliente ha passato un nostro software con un programma che cerca eventuali criticità, rivelando una lunga lista di errori, tutti su query tipo

codice:
$query = "SELECT Utente
FROM Utenti
WHERE Nick = '" . addslashes($nick) . "';"
Cosa che mi ha lasciato abbastanza interdetto: come si riesce a fare sql injection se l'unica variabile (che non viene neanche manipolata dall'utente esterno, ma tant'è) viene passata con un addslashes? E come si può correggere questa vulnerabilità?