Puedes usar:

htmlentities($tu_texto, ENT_QUOTES, 'UTF-8');

Esto convierte todos los signos que usa el HTML en sus entidades, es decir, transforma > en > y cosas por el estilo.
EL parámetro ENT_QUOTES le dice que haga lo mismo con las comillas para que no puedan hacer uso de éstas para manipular cadenas.

Más información sobre cómo prevenir estos ataques en: www.owasp.org

Saludos,