Mmm, io preferirei implementare dei controlli personali per evitare l'injection di JS o di SQL.
Salverei l'html, dopo aver cambiato i QUOTE ( " ) e gli ENT ( ' ) nelle corrispondenti entities, idem per le accentate e caratteri speciali ( http://it.php.net/manual/it/function...ecialchars.php )
Con il testo così codificato non devi poi convertirlo per stamparlo