Ich bin etwas verwirrt. Ich habe darüber gelesenhtmlspecialchars() und ich plane, dies für die textareas zu verwendenPOST XSS-Angriff zu verhindern. Ich verstehe das normalerweisehtmlspecialchars() werden verwendet, um die HTML-Ausgabe zu generieren, die an den Browser gesendet wird. Aber was ich nicht sicher bin, ist:

1) Ist es eine sichere Praxis zu verwendenhtmlspecialchars() zu den Benutzereingabedaten, bevor ich sie in MySQL einfüge? Ich verwende bereits eine PDO-vorbereitete Anweisung mit parametrisierten Werten, um SQL Injection zu verhindern.

2) Oder ich brauche mir wirklich keine Sorgen um die Verwendung zu machenhtmlspecialchars() auf eingefügte Werte (sofern diese parametriert sind) und nur verwendenhtmlspecialchars() Wann rufe ich Ergebnisse von MySQL ab und zeige sie den Benutzern an?