Ano urobit to na vsetko, nielen text prispevku, aj meno atd. aj tam moze byt script. Som myslel ze to robi uz pred vkladanim do DB, ale ano najlepsie je urobit to tesne pred zobrazenim do HTML.

Mal by ale osetrit aj ten SQL $dotaz, predtym ako ho vykona = ochrana proti SQL injection. Napr.
$dotaz = mysql_escape_string($dotaz);
a az potom
$vysledek = mysql_query ($dotaz);

P.S. a aj pri vkladani do DB (aj aj tam je nejaky uzivatelsky vstup v SQL dotaze)