Also rein mit

mysql_real_escape_string in die MYSQL Datenbank

und raus in die Freiheit mit

nl2br(htmlspecialchars(AUS DER DATENBANK))

Aber wenn ich den Code der über ein Formular eingeben wird, nicht in die Datenbank schreiben möchte, kann ich in wahrscheinlich mit strip_tags einigermassen bereinigen, oder?

Michi