前回、管理画面からコードを編集すると勝手に\が付いて、EC-CUBEを疑ってしまいました。
php.iniのmagic_quotes_gpcがOnになっていただけだったんですが、そのままOffにしていいのか気になり、調べてみました。

ふむふむ、SQLインジェクション対策はDB側が行うべきなんですね。んでPHP6で廃止になると書いてありますね。
http://jp.php.net/manual/ja/security.magicquotes.why.php

どうしてもmagic_quotes_gpcをOffにできない場合は、stripslashesを使うといいみたいです。
http://jp.php.net/manual/ja/security.magicquotes.disabling.php

エスケープされる変数とそうでない変数が存在するのか。ありがとうございます。
http://d.hatena.ne.jp/teracc/20070125/1169722643/

SQLインジェクションの脆弱性が見つかっているみたいですね。あぶないあぶない。
http://www.ec-cube.net/info/080829/

MySQLの「SET NAMES」はSQLインジェクションの脆弱性が発生するみたいなので、使ってはダメみたいです。
http://blog.ohgaki.net/set_namesa_mcb_asc

というわけでEC-CUBEはSQLインジェクションの対応がすでにされているので、magic_quotes_gpcをOffにして大丈夫みたいです＼(^o^)／