In einer MySQL Datenbank.

Das ist eine Sache - hier bist du mit mysql_real_escape_string() richtig beraten.

Als HTML im Browser.

Hier musst du lediglich Zeichen gesondert behandeln, die in HTML eine spezielle Bedeutung haben - auch hier stellt PHP eine entsprechende Funktion zur verfügung.

Ob das ein URI ist oder nicht spielt in beiden Fällen keine Rolle.