Kleines Beispiel:
$input = $_POST['input']; //Böse, hier kann HTML drin sein
$input = htmlspecialchars($input); //Gut, HTML ist draußen
$input = str_replace(':-)', '<img src="happy.png" alt=":-)" />', $input); //Gut, HTML ist zwar drin, aber nur das, was du willst!
//Hier ggf. in Datenbank...