Cita:
Iniciado por pateketrueke 
Un <script> en la base de datos no hace daño, sólo en tu navegador si no lo escapas apropiadamente.
Vale entonces al guardar los datos basta con validar los campos y usar la función mysqli_real_escape_string??
Y la función htmlentities la utilizare en el array que me devuelva al hacer una consulta de la base de datos.
es correcto??
Un saludo