Ответ на первый вопрос - mysql_real_escape_string надо использовать.
Ответ на второй вопрос - это бб-редактор. Можешь сам запилить, можешь готовый найти.
_____________
Обучаю веб-программированию качественно и не дорого:
http://school-php.comФрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).