用了PDO还用过滤用户输入吗？

有人说还要过滤XSS   可是不知道怎么过滤XSS怎么办？   还有像长度 数据类型这些是不是只要在前端过滤就行了？

回复讨论(解决方案)

PDO是过滤mysql注入
XSS可以使用htmlentities($str); 输出来防止

从头学什么是sql注入、xss，代码写的不好，用pdo一样可以存在sql注入

必须过滤啊！