Fala-se muito sobre como addlashes e função mysql_real_escape não são seguros para evitar injeções. A verdade é que até os grandes frameworks ou CMSs, como o Wordpress, estão usando essas funções e até agora fazem um bom trabalho.

Eu sei que existem alguns cenários específicos ao usar o GBK charset, ou utf8_decode pode ser usado para injetar algum código sql ou alguns exemplos simples, como1' OR 1 -- que pode ser usado quando houver um simples caso envolvido.

No entanto, após algumas pesquisas, parece muito difícil injetar algo em uma consulta simples com addlashes ou mysql_real_escape usados se o conjunto de caracteres for UTF-8 e vamos admitir, esse é o cenário mais comum.

Portanto, dado esse script para iniciantes, os pls fornecem um POC de injeção de sql (lembre-se de UTF-8 charset)

$mysql['username'] = addslashes($_POST['username']);
$mysql['password'] = addslashes($_POST['password']);

$sql = "SELECT *
FROM users
WHERE username = '{$mysql['username']}'
AND password = '{$mysql['password']}'";

Atualização - eu só preciso de um exemplo simples, não de uma divulgação completa do processo. Até um link do google pode funcionar.