Diciamo che $nominativo sia popolato con un dato proveniente da un form o da una query.

Codice PHP:
$html_nominativo htmlspecialchars($nominativo);
echo <<<EOT
<input type="text" name="nome" value="$html_nominativo">
EOT; 
Per fare un po' di chiarezza a tutti, come indicato dal manuale:
  • addslashes - Returns a string with backslashes before characters that need to be quoted in database queries etc.
  • htmlspecialchars - Certain characters have special significance in HTML, and should be represented by HTML entities if they are to preserve their meanings.


Ovviamente addslashes va utilizzata in assenza difunzioni specifiche quali mysqli_real_escape_string() per mysql.

Nel tuo caso invece hai bisogno di codificare un carattere (il doppio o singolo apice - sarebbe meglio utilizzare il doppio) che all'interno di tag HTML assume un significato particolare (racchiudere i valori degli attributi) , quindi occorre utilizzare htmlspechalchars() per tali valori.

http://php.net/manual/en/function.htmlspecialchars.php
http://php.net/manual/en/function.addslashes.php
http://php.net/manual/en/mysqli.real-escape-string.php

Ancora, la presenza dello slash nei dati provenienti da form è dovuto ai magic quote, deprecati dalla versione 5.3 e rimossi dall 5.4. Per una corretta gestione dovresti verificare se attivi tramite la funzione get_magic_quotes_gpc. Nel manuale è anche presente un'esempio che ne chiarisce l'uso.

I magic quote possono creare problemi e confusione. Il mio consiglio è verificare all'inizio dello script se attivi, con la precedente funzione, e se necessario ripulire i superglobal $_GET, $_POST e $_COOKIE. In tal modo hai la certezza che i dati in ingresso siano sempre privi di slash d'escape. Ai tre dovresti aggiungere anche $_REQUEST se la usi. Questo array è una unione degli array $_GET, $_POST e $_COOKIE. Il popolamento di $_REQUEST dipende dalla direttiva request_order presetne nel php.ini ossia essendo GPC tre array associativi, qualora una chiave sia presente in più di un array, il valore di uno di questi sarà sovrascritto da quello dell'atro secondo la precedenza stabilita da request_oprder.

Sempre nel manuale c'è un esempio di script per disabilitare le megic quote

http://php.net/manual/en/function.ge...quotes-gpc.php
http://php.net/manual/en/language.va...perglobals.php
http://php.net/manual/en/security.ma....disabling.php