处理XSS是做输入过滤好还是输出过滤好

看到CI主要是在$this->input->get/post()里面做XSS过滤，Yii则主要是用Html::encode()或者HtmlPurifier::Process()在输出时做过滤。请问这两种方式哪种比较好，还是说Yii的过滤方式也可以用到输入时候？

回复内容：

看到CI主要是在$this->input->get/post()里面做XSS过滤，Yii则主要是用Html::encode()或者HtmlPurifier::Process()在输出时做过滤。请问这两种方式哪种比较好，还是说Yii的过滤方式也可以用到输入时候？

手册里面说对输入过滤是没有意义的，所以对输出过滤就行了

都要做，省不掉的。 一个是拦着危险代码入库，一个是拦着危险代码生效，缺一不可。

都得有，
输出过滤的场景应该是：
api 用户密码过滤之类的我觉得