Bah c'est normal puisque htmlentities te permet d'afficher le code qui se trouve en bdd sans l'interpréter.
Avec TinyMCE je ne peux pas te dire comment protéger tes données car je ne l'utilise pas (j'utilise le même système de balises que dans ce forum).
Regardes vers les liens que t'a donné loboblahz. Comme j'ai posté presqu'en même temps que lui je n'ai pas eu le temps de regarder son précédent message.

Dans un cas comme ça, à mes yeux la seule solution c'est de délimiter "manuellement" les balises autorisées, avec strip_tags... Même si ça peut être fastidieux, au moins t'as le contrôle de ce qui peut être exécuté ou pas.