Moin,

jap PHP auf dem gleichen Server,

dann darf die Eingabe des Nutzers nirgends ausgeführt werden, z.B. als Teil eines Regex, als Bestandteil in eval oder system, oder in einer Datei gespeichert werden, die per include eingebunden ist.

und der Datensatz wird zu Archivzwecken gespeichert (MYSQL).

Das Stichwort ist Kontextwechsel nach MySQL, damit gehst du am Besten um, indem du prepared statements verwendest.

Der Nutzer bekommt die Ausgabe via PHP.

Möglicherweise muss noch fürs Ausgabeformat maskiert werden, d.h. htmlspecialchars, wenn du HTML ausgibst.

Viele Grüße
Robert