asi es, tal cual lo guardo el usuario... tengo una duda respecto al tema, espero que no te moleste..


para evitar el sql injection escapamos la cadena antes de ser ejecutada...

y para evitar el ataque xss.. convertimos el texto a entidades antes de ser impreso en pantalla..

es correcto ?

perdon la molestia campeón y muchas gracias