Hola de nuevo,

Creo que no me he explicado bien. Conozco las funciones usadas para escapar caracteres HTML (como '<' o'>') mysql_real_escape_strings o htmlentities.

Lo que estoy preguntando es si es mejor usar estas funciones antes de introducir los datos en la base de datos y guardar los caracteres escapados, o por el contrario es recomendable usar estas funciones cuando necesites sacar información de la base de datos y mostrarla por pantalla (en la web).

Ejemplo:

intro dato -> escapo caracteres HTML -> guardo en la base de datos -> saco dato -> muestro dato.

o

intro dato -> guardo en la base de datos -> saco dato -> escapo caracteres HTML -> muestro dato.