[PHP]Pytanie o właściwe zabezpieczanie skryptów i akcji wykonywanych między nimi Opcje

[sebap123]

Witam,

Od jakiegoś czasu pisze sobie niedużą stronę, na której głównie korzystam z php (w wielu wymiarach, ale głównie to jest php). Czytałem trochę w internecie nt. zabezpieczania sktyptów przed ew. atakami. Cały czas staram się do nich stosować, jednak mam pewne pytanie, na które nie mogę znaleźć jednoznacznej odpowiedzi.

Załóżmy, że mam klasę mojaKlasa, a w niej metodę metodaMojejKlasy, która jest publiczna. Mam również skrypt skrypt.php w którym dołączam plik z klasą mojaKlasa i tworzę obiekt obiektMojaKlasa. Przykładowy kod może wyglądać tak:

[PHP] pobierz, plaintext 
$obiektMojaKlasa = new mojaKlasa();
 
$dana1 = 'jakiś napis do metody';
$dana2 = $_POST['poleTextFormularza']
/*
ja robię najczęsciej zamiast tak jak jest powyżej tak:
$dana2 = htmlspecialchars($_POST['poleTextFormularza']);
*/
 
$obiektMojaKlasa -> metodaMojejKlasy($dana1,$dana2);
[PHP] pobierz, plaintext 

Teraz moje pytanie względen takiego przykładowego wywołania - w którym miejscu powinienem dodać htmlspecialchars - w powyższym skrypcie, czy w metodzie klasy. Może i tu i tu? Czemu ta ostatnia sugestia? No własnie to mnie najbardziej zastanawia - czy jeśli jakieś dane zostały przesłane już do skryptu skrypt.php to czy przed wywołaniem metody klasy, czyli tak jakby pomiędzy skryptem a klasą może ktoś te dane zmanipulować, czy jeśli dane w skrypcie przeszły poprawnie to mam gwarancję, że w metodzie pozostaną takie same?

Będę wdzięczny za odpowiedzi i podpowiedzi.

[sebap123]

no, przy dodawaniu, wyszukiwaniu w bazie to nie można tego też użyć, lub do pracy na tych danych - np. liczenia? Bo w sumie to zamienia znaki specjalne na kody ascii tak więc, chyba jest ok? Czy lepiej używać czegoś innego?

Ale nie o to głownie chodzi - czy dane przesłane ze skryptu do metody klasy mogą zostac zmienione gdzieś? Czy mam 100% pewności, że jeśli w wywołaniu był poprawne to w metodzie też takie są?