Nun bevor der vom User gepostete Text in die Datenbank kommt sollte er mittels htmlentities umgewandelt werden.
also bsp:
PHP-Code:
$text htmlentities($text); 
Selbstverständlich mit entsprechend angepasster Variable.

Referenz:
http://www.php.net/manual/de/function.htmlentities.php