Vous insérez des données dans une base de données, pas dans un document HTML. N'utilisez pas d'entités html. Utilisez toutes les méthodes fournies par votre base de données pour échapper le contenu. Cela devrait être quelque chose qui utilise des paramètres liés. Bobby-tables explique un certain nombre de méthodes différentes