Já mu to chtěl vysvětlit, ale než jsem to odeslal, tak jsi byl první. Bylo to skoro stejné jako to tvoje.
Ještě místo htmlspecialchars lze použít při práci s mysql funkci mysql_real_escape_string()
<p>$polozka[mail]</p> by mělo být v uvozovkách i to ostatní == <p>$polozka["mail"]</p>