Беда в том, что кто-то очень любит заносить в базу отфильтрованные через htmlentities строки. Оттого и получается, что из базы достаётся строка, готовая к выводу в HTML, а её ещё раз фильтруют.
`name` = "'.mysql_real_escape_string(htmlentities($code_name, ENT_QUOTES, 'UTF-8')).'",. (+/-)
Не надо так