Hola. no estoy seguro de que este post, vaya correctamente en este tema, perdon si no es así. Supongo que hay muchos post hablando del tema, pero la verdad me cuesta encontrar algo claro.

El tema en cuestión es:
Tengo un sistemita donde usuarios cualquiera pueden ingresar comentarios, a traves de un formulario.
Luego, se pueden ver esos comentarios en semejanza a post de un foro.

La pregunta es: buscando la máxima seguridad posible ¿cómo debo guardar estos datos? como vienen o previo html_entities(), o los puedo guardar normalmente y aplicar esa función antes de enviar la salida html? o debo aplicarle siempre mysql_real_escape_string()? alguna otra función? algo para prevenir inyectar código javascript?

alguien que me oriente please! algun link que leer?

gracias