Mysqli_real_escape_string для данных в базу, но всё-же советую использовать prepared statements.
На выводе можно юзать htmlspecialchars или htmlentities.
Но всё-же лучше всего будет whitelist и тэги через bb коды, а всё остальное в виде entities выводить.