Я обрабатываю пользовательский ввод от публики с помощью редактора javascript WYSIWYG и планирую использовать htmlpurifier для очистки текста.
Я думал, что будет достаточно использовать htmlpurifier на входе, сохранить очищенный ввод в базе данных, а затем вывести его без дальнейшего экранирования/фильтрации. Но я слышал и другие мнения, что всегда следует избегать вывода.
Может кто-нибудь объяснить, почему мне нужно очищать вывод, если я уже очищаю ввод?