No sería mejor utilizar las 2 al insertar? o sólo htmlentities($str, ENT_QUOTES)?

Si utilizamos htmlentities cada vez que queramos visualizar un campo de texto se produce más sobrecarga!!

La sobrecarga de html en la base de datos sólo se produciria en el caso de introducir código malintenciando.

Tu como evitas los ataques tipo NOMBRE : <script>alert('hola')</script> ?