Информация в формы вводится только администратором, поэтому изначально никакой защиты на случай ввода вредоносного скрипта под видом текста не предполагалось. Но сейчас я несколько засомневался в правильности этой концепции - ведь девочка-администратор может и непреднамеренно что-то скопировать из сети.

Как полагаете, все же есть смысл обработать вводимый текст оператором

$text = htmlspecialchars($text, ENT_QUOTES);  

И в дополнение такой вопрос.
В случае обработки названным оператором, в базу попадают символы некоторых сущностей, в частности кавычек. И потому они выводятся браузером как показано в скриншоте.
Видимо, перед их выводом оператором ЕСНО их надо еще раз обработать каким-то оператором для приведения в первоначальный вид?

1. Чем обработать?
2. А не получится ли так, что при такой обработке восстановится и замустится тот самый вредоносный скрипт, от которого мы хотели защититься?

В случае обработки названным оператором, в базу попадают символы некоторых сущностей, в частности кавычек.
Делай htmlspecialchars только при ВЫВОДЕ данных, а не при добавлении в БД.

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).

Если использовать при выводе, то получается вот что:

mysql_real_escape_string - ввод
htmlspecialchars - вывод

Владимир55
До вывода не надо применять htmlspecialchars!

_____________
Обучаю веб-программированию качественно и не дорого: http://school-php.com
Фрилансер, принимаю заказы: PHP, JS, AS (видео-чаты). Писать в ЛС (Личные сообщения на phpforum).