Это в отношенииэтот (отличный) ответ, Он утверждает, что лучшее решение для избежания ввода в PHP - это вызовmb_convert_encoding с последующимhtml_entities.

Но почему именно вы вызываете mb_convert_encoding с одинаковыми параметрами и из параметров (UTF8)?

Выдержка из оригинального ответа:

Даже если вы используете htmlspecialchars ($ string) вне тегов HTML, вы по-прежнему уязвимы для векторов атак многобайтовой кодировки.

Самое эффективное, что вы можете сделать, - это использовать комбинацию mb_convert_encoding и htmlentities следующим образом.

$str = mb_convert_encoding($str, 'UTF-8', 'UTF-8');
$str = htmlentities($str, ENT_QUOTES, 'UTF-8');

Есть ли у меня какая-то польза от этого?м отсутствует?