Вопрос по безопасности передачи данных из формы.

Он и должен экранировать при записи. А так как это "экран", после записи должны быть "чистые" данные. Если остаются лишние слеши, значит вы экранируете уже заслешенные данные. Обычно такое бывает с морально устаревшим magic_quotes

Не внедрили куда?

Если вы про mysql-injection, можно просто делать base64_encode( gzcompress( $data ) ) перед записью в поле, ведь по этому содержимому этого поля таблицы искать оператором LIKE '%' вы не будете.

А после выборки из БД - делать gzuncompress( base64_decode($str) ). Через БД сайт при таком подходе не сломают.

Но iframe или яваскрипт на сайт(по крайней мере на свою страницу) - поставить смогут, если тэги не запретить.

Значит, смогут утянуть куки, перенаправлять трафик на другой сайт, правда, только с одной (своей) страницы.

PS: Лучше вообще не давать пользователям лишней "свободы", даже ссылка-картинка с src= на левый сервер может быть чревата неприятностями.

я их не применял, использую простой JS-скрипт, но, действительно. при каждом обновлении записи ко всем кавычкам добавляется еще один слэш

http://www.php.net/manual/ru/security.magicquotes.php