Hola Aitor,
me refiero a sabiendo que los datos vienen desde algun formulario, donde un usuario confiable o no, ha ingresado data, ¿cómo debemos guardar estos datos para no correr riesgos que inyecten código malicioso. ya sea código Sql, php, javascript, html, unix, etc? ... porque creo que estar guardando todo filtrado con htmlentities() de php, nos deja la base códificada y algo incómoda.

No se si hay una norma o regla optima en cómo y qué hacer en estos casos. Deberia haberla. El decir : "los datos venidos desde un usuario deben guardarse en la base de datos de esta manera: bla bla bla"
Pero creo que no la hay.

Ahora estaba viendo que php tiene funciones para quitar código html, y código Mysql. ¿pero cuál es la mejor metodología a seguir? ¿usar ambas siempre? ¿usarla en algunos casos? cuándo?

(fns php: strip_tags() y mysql_real_escape_string().