ciao scusa ti riferisci al htmlentities(); ??
ma è giusto filtrare $_POST[] esclusivamente con mysql_real_string_escape(); prima di inserire i dati in db?

grazie