از bbcode استفاده میکنن یا اینکه یه سری تگ های خص رو اجازه میدن فقط با strip_tags
اگر نگران sql injection هستی که میتونی با prepared statements بریزی تو دیتابیس که دیگه کلا خنثی میکنه و نیاز به پاکسازی داده ها نیست اصلا
https://www.w3schools.com/php/php_my...statements.asp
پاسخ با نقل قول