Decodificando mysql_real_escape_string () para gerar HTML
Estou tentando me proteger da injeção de sql e estou usando:
mysql_real_escape_string($string);
Ao postar HTML, é algo como isto:
<span class="\"className\"">
<p class="\"pClass\"" id="\"pId\""></p>
</span>
Não tenho certeza de quantas outras variações o real_escape_string adiciona, portanto, não quero substituir apenas algumas e sentir falta de outras ... Como faço para "decodificar" isso novamente em HTML formatado corretamente, com algo como:
html_entity_decode(stripslashes($string));