risposta al mio primo quesito...
anche se provando in locale a me lo slashes veniva aggiunto sia con addslashes che con mysql_real_escape_string. ( parlando di PHP 5.3.0 e creando la tabella con i caratteri gbk )

Poi comunque non comprendo come possa funzionare in quanto la funzione chr() anche se passata via GET o POST verrà letta semplicemente come carattere e non come funzione PHP...

[ aggiunto successivamente ]
e lo stesso vale per la funzione chr() di mysql infatti essa verebbe letta solamente DOPO che è stato chiuso la parte cone username = ' ... fare ciò che fa quello che ha scritto quell'articolo sarebbe : username='chr(0xbf)chr(0x27)' ovvero INUTILE in quanto il tutto è letto come CARATTERE e non come funzione...
[ / aggiunto successivamente ]

secondo me chi ha scritto quell'articolo vaneggia di brutto... ( poi posso pure sbagliarmi in quanto non sono un esperto in sicurezza )
poi non mi dilungo neppure tanto perchè non mi interessa più di tanto.

Ritornando a me, e per farla breve, in quanto NON utilizzo il set di caratteri gbk, e nel mio file php.ini c'è piazzato un bel: default_charset = "iso-8859-1", mi basta utilizzare la mia funzione my_htmlspecialchars?