Этот вопрос был первоначально задан в комментарии здесь.
Является filter_input() все еще необходимым, если вы используете параметризованные запросы и htmlspecialchars() перед печатью любых предоставленных пользователем данных?
Мне кажется ненужным, но мне всегда говорили "Filter Input, Escape Output". Итак, помимо базы данных (или другой формы хранения), есть ли необходимость фильтровать введенные данные?