tutto dipende dal tipo di contenuti che devi ricevere dall'utente

Se non deve essere supportato HTML puoi limitarti a lanciare uno stript tags, o alternativamente puoi usare htmlentities

Inoltre molto dipende dal backend dei dati: se usi utf8 htmlentities serve relativamente alternativamente se usi latin1 è invece importante metterlo per evitare problemi con le codifiche