Я пытаюсь защитить себя от инъекций SQL и использую:

mysql_real_escape_string($string);

При публикации HTML это выглядит примерно так:

<span class="\&quot;className\&quot;">
<p class="\&quot;pClass\&quot;" id="\&quot;pId\&quot;"></p>
</span>

Я не уверен, сколько других вариаций добавляет real_escape_string, поэтому не хочу просто заменять несколько и пропускать другие ... Как мне "декодировать" это обратно в правильно отформатированный HTML, с чем-то вроде:

html_entity_decode(stripslashes($string));