ОткрывашкО.О, точно. Ну ничё.

ОткрывашкО.О, как раз таки всё не так. В БД попадают данные без этих всяких закорючек, и выводятся уже безопасные данные.

Скажите, пожалуйста, как лучше фильтровать данные? Если только перед записью в БД фильтровать htmlspecialchars и mysql_real_escape_string то при выводе не понадобиться. Я вот этим способом и пользуюсь, но много читал что перед записью только mysql_real_escape_string, а при выводе htmlspecialchars. Как правильно?