Jestem trochę zdezorientowany tym. Czytałem ohtmlspecialchars() i zamierzam to wykorzystać w odniesieniu do pól tekstowychPOST aby zapobiec atakowi XSS. Rozumiem to zwyklehtmlspecialchars() są używane do generowania wyjścia HTML, które jest wysyłane do przeglądarki. Ale nie jestem pewien, czy:

1) Czy jest to bezpieczna praktykahtmlspecialchars() do danych wejściowych użytkownika przed wstawieniem go do MySQL? Używam już przygotowanej instrukcji PDO ze sparametryzowanymi wartościami, aby zapobiec iniekcji SQL.

2) Albo naprawdę nie muszę się martwić o używaniehtmlspecialchars() do wstawionych wartości (pod warunkiem, że są sparametryzowane) i używać tylkohtmlspecialchars() kiedy pobieram wyniki z MySQL i wyświetlasz je użytkownikom?