Как полагаете, все же есть смысл обработать вводимый текст оператором
$text = htmlspecialchars($text, ENT_QUOTES);
И в дополнение такой вопрос.
В случае обработки названным оператором, в базу попадают символы некоторых сущностей, в частности кавычек. И потому они выводятся браузером как показано в скриншоте.
Видимо, перед их выводом оператором ЕСНО их надо еще раз обработать каким-то оператором для приведения в первоначальный вид?
1. Чем обработать?
2. А не получится ли так, что при такой обработке восстановится и замустится тот самый вредоносный скрипт, от которого мы хотели защититься?