Perdón por revivir el tema, pasa que no lo encontraba XD.
Voy a pasar entonces mysql_real_escape_string pero me queda una duda todavía.
Textualmente, cuando ingreso a la caja esto "<script>alert("ja");</script>" en la base de datos se almacena así: "&amp;lt;script&amp;gt;alert(&amp;quot;ja&amp;quot ;);&amp;lt;/script&amp;gt;"
y cuando paso html_entity_decode en la pantalla principal se imprime así: "<script>alert("ja");</script>" no me tira el mensaje "ja". ¿puedo tener problemas de seguridad en ese caso?