Они оба делают разные вещи.mod_security - черный список.Он охватывает некоторые общие эксплойты (среди них XSS, SQL-инъекция, обратный путь в каталогах, URL-инъекция и другие) и прошлые ошибки приложения, но, вероятно, его легче устранить с помощью более сложных кодировок и специфических для приложения способов обхода фильтров.(Он часто просто проверяет некоторые параметры URL.)
HTMLPurifier на самом деле требует только санации HTML, но это довольно хорошо.Это фильтр белого списка, поэтому по определению более безопасный.Это конечно медленно.Вот почему вы должны применять его только к входящим данным, а не как универсальный фильтр для всего и везде.Если это замедляет работу вашего приложения, вы можете использовать его в неправильных местах.