Я немного запутался в этом. Я читал оhtmlspecialchars() и я планирую использовать это для текстовыхPOST предотвратить XSS-атаку. Я понимаю что обычноhtmlspecialchars() используются для генерации вывода HTML, который отправляется в браузер. Но я не уверен, что это:

1) Это безопасная практика для использованияhtmlspecialchars() пользователю вводить данные, прежде чем я вставлю их в MySQL? Я уже использую подготовленный PDO оператор с параметризованными значениями, чтобы предотвратить SQL-инъекцию.

2) Или мне действительно не нужно беспокоиться об использованииhtmlspecialchars() для вставленных значений (при условии, что они параметризованы) и использовать толькоhtmlspecialchars() когда я получу результаты из MySQL и покажу их пользователям?