So gehört z. B. htmlspecialchars() nicht in den Dateneingang (E), sondern beim Kontextübergang in den Datenausgang (A) der guten alten EVA-Strategie.

Florence MAURICE empfiehlt in "PHP 7 und MySQL", Heidelberg 2019, etwaige missbräuchliche Eingaben möglichst früh abzufangen!

Das htmlspecialchars() ist aber kein "Abfangen", sondern eine ("teure") "Veränderung" der Daten. Das "frühe Abfangen" hat den Sinn, bei Angriffsversuchen, die regelmäßig durch eine Vielzahl von Requests (z.B. Versuche von SQL-Injections) stattfinden, eine Belastung des Servers durch den jeweiligen Versuch der Erstellung einer Antwort zu vermeiden, also den Programmablauf möglichst frühzeitig, insbesondere vor "teuren" Operationen abzubrechen und ggf. durch weitere Maßnahmen (Loggen + passende Einrichtung z.B. von fail2ban) Zugriffe von der IP des mutmaßlichen Angreifers (zeitweilig) zu unterbinden.