用户可以恶意地打破<textarea>标签吗？</textarea>

Question

用户可以恶意地突破<textarea>标记吗？

例如：

post form contains:

 <form action='post.php' method='post'>
      <textarea name='content'></textarea>
      <input type='submit' value='submit'>
 </form>

post.php将htmlentities($content)存储在数据库中。

现在用户想要编辑他的帖子，他点击“编辑”并检索编辑表单，除非这次代码被解码并注入，以便进行编辑。

edit form contains:

 <form action='edit.php' method='post'>
      <textarea name='content'><?=html_entity_decode($content);?></textarea>
      <input type='submit' value='submit'>
 </form>

用户是否有可能打破textarea标签，因为现在内容已被解码回正常的html。还应该在数据库中存储htmlentities($content)或只是原始html，然后在显示页面上编码 - 该技术的SQL危险是什么？

我已尝试</textarea>，<!-- --></>。说实话，我不熟悉XSS攻击，但我通常知道如何防止它们。

在这种情况下，有人会突破<textarea></textarea>代码吗？