Не дезинфицировать вход.Вместо этого закодируйте это, когда вы выводите это.Это легко реализовать с помощью функций .net 4 (<%: ""%>) или с помощью проверки кода.
Данные должны храниться в собственном формате.Читаемый человеком текст имеет в своем родном формате только текст, а не некоторую его зашифрованную версию.Вы не можете легко манипулировать закодированным текстом (скажем, делая подсветку слов или замен).
Не кодирование текста в базе данных даже экономит немного места для хранения.
В любом случае санировать ввод сложно.Это очень трудно сделать больше, чем просто кодировать все.Добавление в черный список HTML-тегов - это определенный способ забыть что-то, поэтому не делайте этого.