Как мне добавить косую черту только к одинарным кавычкам и игнорировать двойные кавычки?

Что ж, preg_replace_all("/([^\])'/","$1\'",$yourStrHere) сделает то, что вы просите:

• "/([^\])'/" дает регулярное выражение /([^\])'/, которое говорит: "сопоставить любой одиночный символ, который не является обратной косой чертой, за которой следует одинарная кавычка, и захватить символ перед кавычкой. "
• "$1\'" говорит "заменить захваченным символом, за которым следует обратная косая черта и одинарная кавычка"

НО...

Ответ Билла о параметризованных запросах с использованием API-интерфейсов mysqli или PDO - действительно хороший совет. Проще и эффективнее позволить вашему API базы данных справиться с этим, чем делать это самостоятельно — люди, которые написали эти API (и люди, которые работали над собственным бэкэндом для этих API), вероятно, потратили больше времени и усилий на решение проблем безопасности и проблемы с производительностью, чем большинство из нас может надеяться потратить сами.

Хорошо, я действительно опаздываю на этот пост, но добавляю этот ответ в надежде, что он может помочь кому-то приземлиться на этот вопрос. В то время как @Weston C дал решение регулярного выражения, для этого есть функция php - addcslashes (http://php.net/manual/en/function.addcslashes.php):

string addcslashes ( string $str , string $charlist )
Returns a string with backslashes before characters that are listed in charlist parameter.

Простой str_replace("'", "\\'", $string) должен работать. Но, как сказал Гамбо выше, вам следует использовать библиотечные функции, если вы пытаетесь избежать запросов MySQL.

Используйте mysql_real_escape_string. Он экранирует только необходимые символы применительно к кодировке символов вашего соединения MySQL.

Если вы используете параметры запроса для динамических значений, вам вообще не нужно выполнять экранирование.

Вы можете использовать параметры запроса в расширении mysqli или в PDO (я предпочитаю PDO). Старое расширение mysql не поддерживает параметры запроса.