Hola a todos,

parece que ya tengo la solución.

Lo de ejecutar me refeiero a que si el usuario ha introducido código malicioso, por ejemplo, un script en javascript en el campo del formulario, si mas tarde dichos datos se visualizan dentro de las etiquetas body, pues se produce lo que se lla ma XSS (Cross site scripting), un fallo de seguridad y la web "ejecuta" dicho script que contiene el campo.
La solución por lo que veo pasa por mostrar dichos datos con htmlentities y si la web tiene formato utf-8 pues se le debe indicar:

$texto=htmlentities($_POST["textarea"], ENT_QUOTES, "utf-8");

Como en htmlentities no ponia lo de utf-8 me mostraba los datos con otra codificación..