Tach!

Wenn ich es richtig verstehe, müsste es so funktionieren und sicher sein:
mysql_real_escape_string(htmlentities('Daten aus dem Formular'));

Eine Email ist kein Gemisch aus Datenbank und HTML. Insbesondere nicht die Kopfzeilen. Im verlinkten Kontextwechsel-Artikel steht doch drin, was bei Email zu beachten ist.

dedlfix.