Problema htmlentities

[Leonraf]

Ciao a tutti!
Vorrei avere se è possibile un consiglio da voi. Sto progettando un sito web e ho riscontrato questo "problema" che forse non lo è...
cmq nel mio sito è possibile inviare commenti e quindi questi si visualizzeranno nel sito sotto forma di testo. Quando uno scrive un commento, questo viene provessato con la funzione mysql_escape_string e poi inviato al database, poi quando lo voglio stampare a video, questo riviene riprocessato con l'htmlentities, però ciè un problema... se lo processo con htmlentities e nel testo ci sono delle parole accentate, qui si vede anche il codice html per le parole accentate. Però ho notato che se tolgo l'htmlentities il codice html non si vede + e la parola accentata si vede correttamente. Ora io utilizzo la funzione htmlentities per evitare le xss, però alla fine senza di essa ho provato a inserire un commento inserendo come prova uno script del tipo:

codice:

("<script>while(true){alert("Ah ah ah");}</script>)

e nel video mi stampa il codice html dello script, quindi non mi esegue nulla... secondo voi posso anche omettere di processare i vari commenti con la funzione htmlentities? Grazie mille.

[Alhazred]

Invece di solo <script> fa anche una prova con <script type="text/javascript"> vedi se continua a non fare niente.

[Leonraf]

ho provato a fare <script type="text/javascript"> e continua a restituirmi solo il codice html.

[Leonraf]

scusatemi tanto, ma mi sono appena accorto che utilizzo l'htmlentities sia quando inserisco il commento nel database sia quando vado a leggere il commento, ecco perchè succede questo... mi sa che devo utilizzare questo procedimento solamente in lettura o in scrittura
Grazie cmq per il supporto!