Tienes que revisar como lo estas guardando en la BD, si lo guarda bien, sin entidades html revisa si al momento del echo estas utilizando alguna de estas funciones:
htmlentities, htmlspecialchars
si tu propósito es el anterior, no deberías utilizar dichas funciones porque cambiarían los caracteres por entidades, pero si no las utilizas corres riesgo de inyección de javascript!, lo que puedes hacer en el momento de guardar es verificar si la cadena contiene "script" y así evitas un agujero de seguridad, de manera que si alguien intenta guardar lo siguiente no te cuelgue la página:
Código HTML:
<script>while(true){alert('bloqueo');}</script>