senò prima di inserirli nel db fai così: usa ereg() per controllare che non ci siano caratteri del tipo < o > o " o ' oppure ancora &, quindi usa str_replace() per cambiare i valori, così quandoli prelevi dal db non hai bisogno di effettuare questo controllo.