Dal punto di vista della sicurezza (e non dell'usabilità come è discusso qui link ), perché è una cattiva idea sfuggire a HTML prima di sfuggire a SQL?
Per quanto riguarda la sicurezza del database, è irrilevante. A SQL non interessa se la stringa contiene HTML non elaborato o HTML di escape o altro.
Ma come spiegato nell'altra domanda, questo incasina i dati. Veramente lo considererei un bug.
Leggi altre domande sui tag html sql-injection web-application