Что значит «фильтровать»? Если защита от SQL-инъекций — то, безусловно, фильтровать нужно до записи. Но фильтровать не вырезанием и экранированием, а с помощью placeholders в PDO. Подробнее:
habrahabr.ru/post/148701/
При выводе нужно эскейпить то, что может исполнится внутри HTML, тут уже поможет обычная htmlspecialchars() или использование нормального шаблонизатора (Twig, например).
