a livello di php devi crearti due funzioni con cui trasformare tutte le stringhe prima di entrare sul DB e prima di essere visualizzate.
Con queste due funzioni gestisci tutte le eccezioni dovute a caratteri strani o a TAG HTML inseriti nel codice del form.

Colgo l'occasione per chiederti io un consulto:
Sto morendo da 2 giorni per popolare una combo tramite un xml connector. Non è che sai dirmi dove sbaglio o inviarmi un fla funzionante?