MySQLにデータを挿入する際、SQLインジェクション対策に、特殊文字をエスケープする関数「mysqli::real_escape_string」を使う。
by http://www.php.net/manual/ja/mysqli.real-escape-string.php

特殊文字をHTMLで表示する際はhtmlspecialchars関数を使う
by http://php.net/manual/ja/function.htmlspecialchars.php