Просмотр поста

Ну перед записью в базу строки экранируешь с помощью *escape_string()
А перед выводом уже как тебе нужно. htmlspecialchars или htmlentities или еще что-то.
Потому что если сразу писать в базу обработанную через htmlspecialchars или htmlentities строку, не факт, что она не будет использоваться где-то еще. Например надо будет в файл её записать. А зачем нам там html сущности, правильно?
Конечно существует htmlspecialchars_decode и прочие функции, но лучше всё равно так не делать