Еще вот такую фишку видил на каком то блоге 
, да и в здешних скриптах попадалось что-то похожее
function check($var = null) {
return sprintf('%s', htmlentities($var, ENT_QUOTES, 'UTF-8'));
}
...
echo htmlentities(check($text), ENT_QUOTES, 'UTF-8');
...А вдруг мегохацкер попадется