Есть сатанайзер HTML, а для запросов в БД используются prepared statements. Ты за кого меня держишь то кек