DBへフォームからの入力値を格納する場合
htmlspecialcharをしてから格納をしたほうがいいですか?

それとも
DBから引き出した後にhtmlspecialcharしたほうがいいですか