Und ich hab mal gelernt, das in die Datenbank so abgespeichert wird wie vom Formular abgesendet. Das heißt mit allen Zeichen. Bei der Ausgabe behandel ich dann die Strings entsprechend. (stripslashes, htmlspecialchars, strip_tags usw)

Wer auch immer dir das beigebracht hat hatte recht, du hast das aber vermutlich falsch verstanden - damit ist gemeint, dass du beim Speicher in die Datenbank keinerlei Maskierung vornimmst - auch keien automatische.

stripslashes gehört also schon vor dem Schreiben in die Datenbank gemacht, wenn magic_quotes an ist bzw. bevor du auch nur ansatzweise $_POST oder ähnliches anrühst:

http://www.php.net/manual/de/security.magicquotes.disabling.php - zweites Beispiel.

htmlspecialchars() natürlich erst bei der Ausgabe.