gebe ich das lustige zeichen ' ein, muss ich es mit stripslashes(); vor der verunstaltung retten (sonst hab ich nach zwei, drei checks nur noch z.b. small-step\\\\'s schwachsinn). wieso schafft das htmlentities(); nicht von allein?

Da hast Du die Sinn und Zweck von htmlentities() falsch verstanden. htmlentities() ersetzt alle Zeichen mit ihren HTML-Umschreibung (sofern eine existiert): Aus ö wird ö, aus & wird &, usw.

Dein Problem liegt woanders: PHP hat die unangenehme Eigenschaft, vor alle Anführungszeichen sowie Rückstriche, die von außen kommen, einen weiteren Rückstrich zu setzen, damit diese Zeichen in Funktionen wie mysql_query() keinen Unsinn anstellen können.
Stört Dich das, schalte in der PHP-Konfiguration (oder der .htaccess, sofern erlaubt) die Option magic_quotes_gpc aus. Wie das geht, steht im Konfigurationskapitel der PHP-Anleitung.

Gruß,
  soenk.e