ESET, Да, я понял, один раз, чтобы заюзать поиск, так уж и быть, я юзну htmlspecialchars_decode()

ESET, Ну вот. Ты из второй половины. Аргументируй, в чем я не прав?
В том, что я храню в бд не html код, а его сущности? По-твоему, хранить код безопаснее?) Не удобнее ли использовать фильтрацию при вводе, чтобы не юзать ее сотни раз при выводе?) Нагрузка на бд? Mysql замедлится от пары лишних (имхо, они не лишние) символов в строке? Так может тогда стоит смотреть в сторону другой субд? Ты можешь начать мне заливать про создание крупного проекта, давай, мне будет очень интересно почитать о том, как это отразится на проекте с онлайном в сто тысяч...
Хотя нет... Пожалуй, не интересно. Ибо, при установке индексов к таблице, составлении грамотных запросов, оптимизации настроек субд под железо, субд даже не заметит эти лишние символы. Ей будет насрать, перебрать строку в 100 символов, или 120. Неговоря уж о том, что половину данных можно попросту пустить в кеш. Так что, имхо, лучше уж хранить на 5-10 символов больше в бд, чем юзать 5-10 фильтров при выводе из бд. Не дай бог еще забудешь, тогда вообще все по пизде пойдет.
Добавлено 25.07.15 в 03:26:25:
Опять же. Новичку, наподобие автора темы, не в обиду, бро, лучше уж фильтрануть один раз при записи, чем ебать моск при выводе.

Тобишь $nick=my_esc(htmlspecialchars($_POST))

Многие говорят, что это неправильно, но я бы юзнул htmlspecialchars при вводе в бд. Тогда не будет хуссоски