htmlentities() с переданной в качестве аргумента константой ENT_QUOTES преобразует двойные и одинарные кавычки в html сущности, иначе говоря кавычки фильтруются, а вот \ функция не преобразует и поэтому ты и получаеш ошибку sql синтакса

думаю у тебя тут 2 варианта:

1) попытаться придумать как можно манипулировать sql запросом через символ экранирования(\) (и вообще есть ли возможность в данном случае(сам запрос тебе педоставили))

2) искать дыры в других местах