hi,

Sag mir mal bitte, wo du bei dieser Vorgehensweise ein Sicherheits-Problem siehst.

Ein Problem besteht in sogenannten sql injections:
http://www.php-faq.de/q/q-sql-injection.html

die fängt mysql_(real_)escape_string() m.E. aber in ausreichendem maße ab.
das man diese _funktion_ vor dem einsetzen der daten in die query anwendet, darüber waren wir uns hier ja eigentlich einig ;-)

aber andere sachen wie htmlentities() o.ä. betreffen wirklich nur die ausgabe (und auch nur, wenn diese als HTML geschieht), sind als an der stelle "eintragen in dei DB" m.E. nicht relevant in punkto sicherheit.

gruß,
wahsaga