Evidentemente (y me alegro que no sea así) estaba queriendo averiguar si letni estaba copiando las sugerencias que le dábamos simplemente porque sí, sin buscar nada al respecto. Te faltó leer las letras "ocultas" antes del

Coincido con nicolaspar. Es mejor dejar en la base de datos los datos tal y como el usuario te los puso, cuidándote de las inyecciones sql. Al pedir cada dato realizas la depuración correspondiente. Es muy similar a los sistemas bbcode, en los que guardas en la bd el mensaje con tags bbcode, y sólo es que procesas estos tags al mostrar un mensaje.

Personalmente solo uso strip_tags() en muy contadas ocasiones. Para meter datos a la bd sólo lo paso por mysql_real_escape_string(), y tengo en la bd un dato "verdadero". Luego al mostrar aplico htmlentities y funciones para XSS, y así tengo un dato "corregido".

letni, te sugiero leas el manual de php para cada una de las funciones que se mencionaron aquí, y así empieces a proteger tu sistema.