Mam następujący problem:

1. Mamy formularz, do którego użytkownicy wpisują kod (php/sql/js/i wiele innych...)
2. Zawartość formularza wysyłana jest do bazy danych mysql
3. Na końcu zawartość bazy z kodami jest wyświetlana (ale nie wykonywana) na stronie

Jak prawidłowo zabezpieczyć owy formularz przed XSS (Cross Site Scripting) oraz SQL Injection?

Zależy mi na tym aby kod z formularza był w bazie danych w postaci niezmienionej!
W chwili obecnej serwer ma włączony et_magic_quotes_gpc" title="Zobacz w manualu PHP" target="_manual co powoduje ze kod z:
echo ('text') jest zamieniany na echo (\'text\');

htmlspecialchars" title="Zobacz w manualu PHP" target="_manual na XSS
mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual na sql injection

no tak ale mysql_real_escape_string" title="Zobacz w manualu PHP" target="_manual dodaje mi ukośniki też do bazy mysql jak temu zaradzić?
StripSlashes" title="Zobacz w manualu PHP" target="_manual pomoże tutaj przy wyświetlaniu danych z bazy?

Jak masz dostęp do .htaccess to możesz wyłączyć magic_quotes. Z poziomu skryptu chyba też się da.

Ja co do zapobiegania SQL Injection polecam PDO i bindowanie parametrów (zmiennych).
Co do XSS właśnie htmlspecialchars.

Przejedz dane z $_POST/$_GET strip slashem (a lepiej wylaczyc te magic quotes).
Do bazy wrzucaj je wyeskejpowane (mysq_real_escape() lub jeszcze lepiej z uzyciem PDO).
Przy wyswietlaniu uzyj htmlspecialchars() co wypisze ci HTML zamiast go parsowac.

mogę prosić o informacje jak to zrobić ?

http://pl.php.net/manual/pl/function.ini-set.php

a jesli chodzi o htaccess to zapoznaj sie z dyrektywa php_value

w pliku .htaccess dopisz:

php_flag magic_quotes_gpc Off
php_value magic_quotes_gpc Off