Можно ли использовать filter_input вместе с htmlspecialchars? ⇐ CSS

[Anonymous]

Я читаю о том, что FILTER_SANITIZE_STRING устарел, поэтому ищу лучший вариант для фильтрации входных данных по соображениям безопасности, чтобы предотвратить инъекции MySQL и XSS-инъекции.
Мои пользователи будут отправлять только простые сообщения текст на моем веб-сайте, поэтому мне вообще не нужно хранить какие-либо символы или HTML.
Вот как я до сих пор забочусь о безопасности:

Код: Выделить всё

$mail->Subject=filter_input(INPUT_POST,'message',FILTER_SANITIZE_STRING);

но сейчас он устарел.
Я вижу много мнений и способов обезопасить сайт от инъекций. Я уже использую подготовленные операторы с параметрами привязки/выполнения, но хочу чувствовать себя в безопасности при вводе данных пользователем.
Мой вопрос:
Это нормально? фильтровать, используя как filter_input, так и htmlspecialchars, вот так?

Код: Выделить всё

$mail->Subject=filter_input(INPUT_POST,'subject',htmlspecialchars);

Или что бы вы порекомендовали?

Подробнее здесь: https://stackoverflow.com/questions/785 ... ecialchars