Очистить ввод перед сохранением в базу данных

Прежде всего, у меня есть HTML-редактор, который принимает ввод от пользователя. Я хочу хранить простые HTML-теги в базе данных и обслуживать кавычки (SQL инъекции), которые также появляются.

Например,

$input = "<h1><strong><span style="font-size:36px">I'm waiting</span></h1>";

Мне нужно обслуживать цитаты только из я жду но не кавычки, которые появляются между тегами html перед сохранением в базу данных. Любой рекомендуемый способ сделать это?

ps: пожалуйста, игнорируйте PDO (или mysqli) с подготовленными утверждениями в этом случае.