Es sugerible cuando vayas a ingresar datos a mysql usar mysql_real_escape_string ya que se encarga de pasar los datos como deben ser a la base de datos. Tambien htmlentities hace la funcion pero convierte todos los html en sus respectivas entidades. Por ejemplo si va a insertar la doble comilla con htmlentities la inserta de esta forma usando el ENT_QUOTES,

doble comillas -> &quote;

Mientras que mysql_real_escape_string lo inserta de esta forma

doble comillas -> \"

Eso va a depender de como tu quieras que inserte la información. Pero de las dos formas evita los ataques de sql