la solucion mas simple a mi parecer es usar un htmlentities() antes a las variables que estan enviando al SQL. Esta funcion lo que hace es cambiar los "<" y ">" por sus codigos aunque van a seguir ahi las etiquetas cuando se muestre la consulta pero no se van a aplicar. No es una solucion optima, pero es la mas simple.