Estoy un poco confundido en esto. He estado leyendo sobrehtmlspecialchars() y estoy planeando usar esto para las textareasPOST para evitar el ataque XSS. Entiendo que usualmentehtmlspecialchars() se utilizan para generar la salida HTML que se envía al navegador. Pero lo que no estoy seguro es:

1) ¿Es una práctica segura de usarhtmlspecialchars() a los datos de entrada del usuario antes de insertarlo en MySQL? Ya estoy usando una declaración preparada de PDO con valores parametrizados para evitar la inyección SQL.

2) O, realmente no tengo que preocuparme por usarhtmlspecialchars() a los valores insertados (siempre que estén parametrizados) y solo usehtmlspecialchars() ¿Cuándo obtengo resultados de MySQL y los muestro a los usuarios?