MySQL 3.23.49 - ošetření vstupu

Neví někdo, zda musím ošetřovat vstupy z inputu s databází MySQL 3.23.49.

Vstupy se tu již řešily, ale zjistil jsem, že mě to databáze ošetřuje sama. Je to normální, nebo je v něčem chyba? když napíši znaky pro skript, tak v databázi je to uloženo, ale při načtení to není zobrazeno. Jiné tagy jako BR a href atd to bere.

Zkuste poradit
dík
Pavel
Asi stárnu, ale nerozumím otázce? Jaké vstupy z inputu? Z html formulářů? Co ošetřuje sama? Co jsou znaky pro skript? Co po načtení není zobrazeno?
Taky jsem to nepochopil.

Pokud jde třeba o uvozovky a apostrofy, z formulářů se tyto nahrazují automaticky, vliv na to má nastavení PHP.
http://cz.php.net/manual/cs/function.get-magic-quotes-gpc.php
Ale je potřeba to testovat a pokud to nastavené není, musíš si to ošetřit sám (stripslashes).
OK, např. když napíši do inputu v html auložím to do databáze <?php echo $neco; ?>, tak do databaze to dojde, ale pri nacteni zpet do textu se to nenacte. Zamená to, že je databáze automaticky chráněna proti zlomylsným skriptům? (možná jsem nepochopil komunikaci databáze skript, klient)
Dík
Jestli jsem to správně pochopil: máš html formulář, kde je input, do kterého napíšeš text "<?php echo $neco; ?>". Ten pak uložíš do db. V db vidíš ve správném sloupečku zapsaný text "<?php echo $neco; ?>". Jo? A teď to čteš a chceš aby se ti "<?php echo $neco; ?>" někam napsalo? Nebo aby se to provedlo? S vypsáním by neměl být problém, s provedením to tak jednoduché není. Napadá mě akorát text nacpat do souboru a ten pak přes include přidat do výsledku. Možná to jde i jinak, ale to neumím (zatím).
eval()?
Právě nechci, aby se to provedlo. Jednalo se mi o to, zda je to nutno ošetřit, aby někdo ze stránek nemohl zlomyslný skript poslat na server.
Vím, že se to řeší převodem na entity, př. převodem zpět, pokud to chci zobrazit.

Všiml jsem si ale, že ikdyž to neošetřím, tak se skript přesto nespustí.
když odešlu přes formulář dodb.
<?php echo('aaa');?> tak se skript neprovede
kdyz napisi echo('aaa'); tak se to vypise cele ... echo('aaa');

Dik za reakce a rady
Je hlavně nutné odlišovat spuštění kódu PHP a SQL injection. Spuštění kódu je při běžně napsaném skriptu PHP AFAIK nemožné (jedině snad přes eval(), ale to by musel být programátor ...). SQL injection se ošetřuje třeba pomocí addslashes (pokud to není nastavené přímo v PHP, aby se to ošetřilo standardně automaticky). Je nutné mít správně napsané apostrofy a uvozovky v dotazech...
Více viz třeba: http://www.root.cz/clanek/2341
addslashes(); ?