Claro, mira... si pongo con htmlspecialchars() así:
Código PHP:
echo "".htmlspecialchars($row['codigo'])."";
Muestra lo que hay en la base de datos:
En seguida inicia el php: <? include("prueba.php"); ?>
Si lo pongo sin htmlspecialchars() no muestra nada. En el email de la respuesta te llegó que no me salía nada, por que tenía mal el $row con un campo que no existía, por eso ya después edité el mensaje.
Se que debe haber algún metodo, por que si mal no recuerdo hay un plugin para WordPress que lo hace, pero no entiendo por qué me da error usando la función de la manera que se dice en php.net