Estoy seguro de que este hilo ofrecerá mucha ayuda a la gente interesada en este tema, buena información
Yo al final, opté por probar el SafeHtml (aún no había mirado vuestras respuestas) y aún estoy probandolo. No se si es completamente seguro contra SQL o HTML injection, espero que sí :S
Por otro lado, un compañero de trabajo me dijo que hay una función que descarta automáticamente todas las etiquetas html, excepto las que tú le pasas por parámetro. ¿Sabéis que función es?
Saludos.