PDO очень эффективно защищает ваши запросы от атак XSS.Не нужно беспокоиться о том, запомнили ли вы защиту ваших запросов или нет, потому что это происходит автоматически.Несколько других фреймворков также поддерживают эту функцию.
Если я не использую PDO из-за требований клиента или чего-то подобного, я, по крайней мере, встроу в свой класс соединения автоматическую функцию htmlspecialchars, чтобы я никогда не забывал это делать (хотя это моенаименее любимый вариант)
Как парень с пользовательским интерфейсом, я всегда нападаю на свои проблемы с безопасностью, начиная с --front-- end.Надлежащая и хорошо продуманная валидация внешнего интерфейса может предотвратить непреднамеренные проблемы, даже не доходя до запроса, и они являются наиболее эффективным шаблоном пользовательского интерфейса для сообщения о проблемах пользователю.Блокирующие элементы, такие как < или ;, имеют смысл в большинстве областей, потому что они просто не подходят.Вы не можете полагаться только на интерфейс, потому что человек может обойти его, отключив JavaScript.Но это хороший первый шаг и отличный способ ограничить неправильные запросы на сайтах с большим трафиком.Мое подтверждение выбора для быстрой и эффективной проверки полей: здесь.