Hola,
Claro que no tí@, para eso estamos. He aquí lo que usé (Ejemeplo de
Ronruby):
Código PHP:
// Recogo los campos con el array
$form = array(
"nombre" => $_POST['nombre'],
"mensaje" => $_POST['mensaje']
);
// Recorro todo el array formateando los caracteres html
foreach($form as $key => $value){
$form[$key] = htmlspecialchars($value);
}