Con TinyMCE yo hago lo siguiente; envío el
textarea por AJAX, lo recibo en PHP y antes de almacenarlo en la BBDD aplico
mysqli_real_escape_string.
Código PHP:
Ver originalrequire('conexion.php');
$contenido = $_POST['contenido'];
Hice pruebas de XSS y [blind] SQL injection y no hubo manera. Así que, en mi caso, funciona bien.