Либо ENT_QUOTES вторым параметром у htmlspecialchars нужно указать. Тогда такие кавычки вставятся. А символ / вроде ничего страшного их себя не представляет.
Но в любом случае, через mysql_real_escape_string нужно прогонять строковые данные перед запросом. Почти в любом.
|