От этого зависит, будет ли вход печататься пользователю? В моем случае мне нужно вернуть данные обратно пользователю (комментарии и биография).
Благодаря!!!
htmlspecialchars() достаточно, чтобы предотвратить XSS.
Стрип-теги удаляют теги, но не специальные символы типа " или ' , поэтому, если вы используете strip_tags() вам также нужно использовать htmlspecialchars() .
Если вы хотите, чтобы комментарии пользователей отображались так, как они набирали их, не используйте strip_tags, используйте только htmlspecialchars ().