Die Ausgabe ist \\\" (Ihr zweites Beispiel).
Ich glaube nicht, dass Sie zuverlässig sagen können, ob ein String bereits maskiert wurde oder nicht, Sie sollten Ihren Code so organisieren, dass Sie nur mysqli_real_escape_string() aufrufen können einmal.
