Está insertando datos en una base de datos, no en un documento HTML. No utilice entidades html. Use cualquier método que proporcione su base de datos para escapar del contenido. Esto debería ser algo que use parámetros enlazados. Bobby-tables explica varios métodos diferentes