¿Que lenguaje de programación del sevidor corres, me refiero PHP, ASP, JAVA etc etc? No puede ser HTML solamente porque eso no te permite insertar en una Base de Datos. Si de casualidad estas usando PHP para problemas con inyecciones usa htmlentities() o htmlspecialchars(). Vas a tener que explicarte un poco mejor en la primera parte ya que no entendi si es que quieres que salgan los caracteres especiales o que no quieres que salgan. Si lo que deseas es que salgan solamente alfanumércio y con espacios solo tienes que declarar