mein workflow sieht dabei ungefähr so aus: beim eintragen der daten in die tabelle wird nur eine sql-injection verhindert und zwar mit hilfe von mysql_real_escape_string.

beim auslesen wird dann je nach "ausgabemedium" gefiltert. soll die eingabe in html-code erscheinen, kannst du entweder den kompletten String escapen (mit htmlspecialchars oder htmlentities) oder auch einen string-parser (eventuell mal mit google suchen) benutzen, der bestimmte elemente wie <a href="...">...</a> oder <b>...</b> zulässt. dabei ist zu beachten, dass du auch link-ziele kontrollieren musst, nicht dass dann so etwas wie

<a href="javascript:alert('0wned!')">Klick mich</a>

in deinem schönen HTML steht.

Gruß,
Niklas