Ok si no quieres eliminar los tags maliciosos puedes convertirlos a su entidad HTML, es decir primero los almacenas en BD con su ENTIDAD HTML equivalente, asi cuando lo imprimas no va salir una ALERTA que diga HOLA, si no simplemente <script>alert('Hola!');</script> y cuando lo tengas que editar lo DECODIFICAS a su etiqueta html equivalente.

Todo eso se puede lograr con htmlspecialchars y htmlspecials_decode (no recuerdo bien el nombre de las funciones busca en php.net)