No debes html_entity_decode al texto ya que si lo haces en la pantalla va a salir un alert. Esto es peligros por los ataques XSS te sugiero buscar en internet con respecto a eso. Si vas a ingresar en la base de datos debes usar mysql_real_escape_string y htmlentities debes usar para mostrar en la pantalla por si alguna persona quiere usar el ataque que te indique.