Como guardar la data de formularios html en la base de datos?

Hola. no estoy seguro de que este post, vaya correctamente en este tema, perdon si no es así. Supongo que hay muchos post hablando del tema, pero la verdad me cuesta encontrar algo claro.

El tema en cuestión es:
Tengo un sistemita donde usuarios cualquiera pueden ingresar comentarios, a traves de un formulario.
Luego, se pueden ver esos comentarios en semejanza a post de un foro.

La pregunta es: buscando la máxima seguridad posible ¿cómo debo guardar estos datos? como vienen o previo html_entities(), o los puedo guardar normalmente y aplicar esa función antes de enviar la salida html? o debo aplicarle siempre mysql_real_escape_string()? alguna otra función? algo para prevenir inyectar código javascript?

alguien que me oriente please! algun link que leer?

gracias

A que te refieres cuando dices "la maxima seguridad posible"...

Hola Aitor,
me refiero a sabiendo que los datos vienen desde algun formulario, donde un usuario confiable o no, ha ingresado data, ¿cómo debemos guardar estos datos para no correr riesgos que inyecten código malicioso. ya sea código Sql, php, javascript, html, unix, etc? ... porque creo que estar guardando todo filtrado con htmlentities() de php, nos deja la base códificada y algo incómoda.

No se si hay una norma o regla optima en cómo y qué hacer en estos casos. Deberia haberla. El decir : "los datos venidos desde un usuario deben guardarse en la base de datos de esta manera: bla bla bla"
Pero creo que no la hay.

Ahora estaba viendo que php tiene funciones para quitar código html, y código Mysql. ¿pero cuál es la mejor metodología a seguir? ¿usar ambas siempre? ¿usarla en algunos casos? cuándo?

(fns php: strip_tags() y mysql_real_escape_string().

La verdad es que no me lo he planteado nunca, pero estoy seguro que hay por ahí ejemplos muy buenos en php, que se yo, con expresiones regulares, por ejemplo, pero no te puedo decir mucho mas. Un saludo.