Buenas noches.

Es bastante conocido que es necesario utilizar mysql_real_scape_string() para hacer un correcto filtrado de caracteres a la hora de prevenir SQL Injection.

Por unos problemas que tuve anteriormente con formularios en los que se necesitaba utilizar comilla simple para especificar la unidad de pulgadas. agregué la función escape() de JavaScript cuando se enviaba el formulario lo cual me coniverte los caracteres con el URL Encode. Se que la validación en el cliente no me protege por lo cual tambien tengo que hacer validación en el servidor, pero la pregunta es que cunado hago el URL encode, los string quedan con los respectivos %20 y demas caracteres convertidos a url que finalmente los inserto en la base de datos. Es válido que en la base de datos me estén quedando los datos en URL encode??
Existe una mejor práctica??? que relación hay con las funciones htmlentities?
Cuando voy a imprimir los datos en la página utilizo la función de JavaScript unescape que funciona correctamente como lo necesito.

Mil gracias