¿Es esto una vulnerabilidad?

Hola buena tarde.
Tengo una duda con respecto a la seguridad.

Uso htmlentities y mysqli_real_escape_string para sanitizar datos a la DB, sin embargo necesito mostrar esos mismos datos pero ahora las ñ y los acentos los coloca literalmente. Intenté de todo, pero lo funcional fue colocar html_entity_decode, es decir, lo inverso a htmlentities y efectivamente muestra correctamente los datos.

Entonces, si alguien coloca una inyección (por ejemplo ) cuando se almacena se escribe como sus respectivas entidades así que no hay problema, sin embargo, ¿si uso html_entity_decode ejecutará el script malicioso?

Pues obviamente sí, porque entonces es como si alguien escribiera ese HTML directamente y sin restricciones.

A eso se le conoce como XSS, te sugiero investigar al respecto.

Ajá~

¿Alguna idea para sustituir? Preg replace?

La pregunta correcta es: ¿vas a permitir HTML en lo que introduzcan tus usuarios?

Si no entonces es muy simple, con sólo usar strip_tags() quitas todo el HTML antes de guardar.

Ahora, ahí cometes un error muy grave: el HTML no hace daño en la base de datos, así que "sanitizar" el HTML que va a la base de datos es una pérdida de tiempo y recursos.

El código HTML se ejecuta únicamente en el navegador, y a menos que lo imprimas no hace daño, usar htmlentities() no "sanitiza" nada.

Jamás debes alterar la naturaleza de los datos que recibes: es mala practica.

Muchas gracias por la aclaración, soy autónoma y a veces es importante aprender de todos lados. Con los cursos con los que aprendí (cuando tenía 15, ahora tengo 19) reiteraban la importancia de limpiar los datos de entrada porque mysql_escape_string no es suficiente (estoy consciente de ello).