devi usare htmlspecialchars() o htmlentities() (nel manuale PHP trovi le differenze
ad esempio:

Codice PHP:
echo '<input type="text" name="nome" value="' htmlspecialchars($var) .'>'