1. Certifique-se de que as citações mágicas estão desativadas ou, se você não puder desativá-las, limpe suas strings delas. Leia o manual para obter detalhes:http://www.php.net/manual /en/security.magicquotes.php
2. Ao inserir seu texto no banco de dados, escape-o corretamente para a sintaxe SQL uma vez ou, melhor, use declarações preparadas. Veja Como posso evitar injeção de SQL em PHP ? e O grande escapismo (ou:o que você precisa saber para trabalhar com texto dentro de texto) .
3. Ao enviar para HTML, use htmlspecialchars para evitar injeção de HTML ou problemas de sintaxe simples e depois use nl2br para formatar quebras de linha especificamente para HTML.

É basicamente isso.