de hecho la función sanitizadora debería ser
mysql_real_escape_string() o su relativa dependiendo del RDBMS...
http://php.net/mysql_real_escape_string
no es necesario hacer uso de
htmlentitites() o
htmlspecialchars() a menos que estemos completamente seguros de sus efectos...
otro detalle a considerar, y que no olvido, es mantener la integridad de los datos al 100%, bien o mal intencionado, es nuestra obligación perpetuar los datos tal cual... (: