在将PHP Session发送到MySQL查询之前是否需要使用htmlspecialchars()？

某些邪恶的黑客可以在装有危险SQL注入的计算机上创建会话吗？

没有。

在将文本放入HTML之前，请使用htmlspecialchars()。 （您将受信任的HTML直接放入HTML。通过白名单运行的不受信任的HTML）。这是对XSS的防御。

将数据放入SQL查询时，您必须担心的是SQL注入。由于会话数据仅包含您首先放入的数据，因此，如果采取任何措施防止SQL注入，则它们将取决于您放入会话中的数据。

根据经验，要查询的任何变量都应为inserted using bound variables and not string concatenation。