PHPの参考書でXSS対策として、「動的に生成される全ての値に対して」エスケープ処理をすべき、との説明があります。
インターネット上では、print / echo の関数と共に簡易に紹介され記事ばかりのような気がします。

実際にサイトの開発作業を進めていく上で、どう活用すべきか理解したいので教えてください。

①html出力時だけで良い
②逆に、画面から入ってくる内容についても(DB書き込む以前に)対応すべき
③上記①の出力項目にしても、当該サイトから登録されたDB上の内容でなければ不要である
(画面制御用のラジオボタンのリストなどは予めDBに登録されているもの、と思う)

一体どれが当てはまるでしょうか?
「動的に生成される全ての値に対して」をもう少し具体的に知りたいです...