Одно более-менее понятно: Чтобы не было xss (а я однажды попал в это дело), нужно использовать strip_tags htmlspecialchars htmlentities при выводе пользовательского ввода. Думаю что лучше использовать strip_tags и\или htmlentities. (?)

2 Если этот вывод читается из бд, ТО... сначала данные должны быть записаны в бд. И тут появляются вопросы:

Что и в какой последовательности применять к данным которые буду писаться в бд?

2.1 Об stmt-запросах я знаю и понимаю http://ua2.php.net/manual/ru/mysqli.quickstart.prepared-statements.php

2.2 Хочу узнать примерные вариантЫ порядка обработки данных перед сохранением в тбл.

2.2.1 Сначала stip_tags и\или htmlentities -> (если нужно сохранить какое-то htmlформатирование в безопасном режиме)

2.2.2 потом mysqli_real_escape_string - ?

2.2.3 Замена % и _ ( $more_escaped = addcslashes($escaped, '%_'); )

2.2.4 "теги", типа [b][code][i] link использовать для обработки ПЕРЕД выводом данных.

3. В нете была замечательная статья о sql-inj при помощи\на основе многобайтных кодировок. Сейчас тот сайт умер(?) Кто что знает об этом способе скл-индж?

ах, да вот еще что: Одинарных кавычек ДВЕ.

какая-то из них не ескейпится, Нужно проверять.

Если не ескейпится, то нужно это сделать руками (так как с _ и %)?