Hallo,

2. Vor dem Wegschreiben der Daten sollte man z.B. strip_slashes() durchführen,
      Daten validieren und richtigstellen...

nur dass du dann auch zuviel wegschnippeln kannst :)

ich lasse den HTML Code so drin...
nachdem htmlentities bzw. htmlspecialchars drüber gelaufen sind...
wird es eh nicht nicht mehr als HTML Code interpretiert

mfg
Twilo