ma eseguire controlli solo tramite la funzione htmlspecialchars basta per evitare problemi di sql injection etc...?