Pues como dice okram lo suyo es validar la cadena con mysql_real_escape_string() para tener el dato verdadero el que mete el usuario pero evitando que nos haga inyección de código y luego al mostrar ese dato se aplica htmlentities() y otras funciones para XSS para así tener el dato con un formato adecuado.

Resumiendo, coge el dato y aplícale la función mysql_real_escape_string() y evitamos la inyección de código de usuarios malintencionados.

Saludos y suerte.