una cosa ancora migliore sarebbe quella di controllare la configurazione di magic quote gpc tramite get_magic_quotes_gpc:

codice:
if (!get_magic_quotes_gpc())
    $lastname = mysql_escape_string($_POST['lastname']);
else
    $lastname = $_POST['lastname'];