Originariamente inviato da Alhazred
Per la sicurezza del sito non serve usare htmlspecialchars(), passa le stringhe a mysql_real_escape_string() è sufficiente questa per il problema di sicurezza che hai in mente tu e non ti stravolge i caratteri.

e si ho tolto HTMLSPECIALCHARS visto che modificava i caratteri in modo sbagliato,, andando a modificare "&" nel suo formato html

ma giusto per curiosita, come si risolverebbe questo problema? dovrei cambiare la codifica della pagina??