我会说你需要这两个地点,但出于不同的原因.当数据进入时,您应该根据域验证数据,并拒绝不符合的请求.例如,如果您期望一个数字,则不允许使用标签(或文字).对于代表一年的参数,甚至可能要检查它在一定范围内. 消毒踢自由文本字段.您仍然可以对0字节等意外字符进行简单验证. IMHO最好通过安全的sql(参数化查询)存储原始数据,然后对输出进行正确的编码.有两个原因首先是如果您的消毒剂有一个错误,那么您对数据库中的所有数据有什么作用？复原可能会产生不必要的后果.其次,您要进行上下文转义,无论您正在使用的输出(JSON,HTML,HTML属性等)