Санитарная обработка пользовательских данных для использования в заголовке страницы без кодирования в сущности?

Очевидно, что одним из основных способов защиты от вредоносного кода от пользователей является кодирование данных в html entities; Однако как насчет при использовании данных на странице title - поскольку заголовок страницы не преобразует объекты для отображения и & будет отображаться буквально как & вместо &,

Мне интересно, какие методы вы можете использовать для очистки данных для использования в заголовках страниц? Я уже запускаю PHP функция strip_tags на данные, однако не уверены, если это должно быть достаточно защиты или я должен делать больше?

Все еще кодировать, но потом делать декодирование для определенных символов?

Редактировать: Скриншот строки заголовка Firefox ниже..

Мой вклад:

<title>Testing 123 - &amp; testing</title>

Источник:

<title>Testing 123 - &amp;amp; testing </title>

Итак, глядя на это, если я хочу правильно понять, что он дважды закодировал его, оставляя меня верить, что данные внутри заголовков автоматически кодируются и, таким образом, безопасно вставлять незакодированные данные внутри <title> теги?

Я думаю, мое единственное беспокойство - это относится ко всем клиентам / браузерам? ... или есть PHP кодировать это автоматически?