سلام. وقت بخیر.

برای اتریبیوت action شما صرفا قراره یه آدرس رو بذارید اگه قراره به صفحه ای دیگه بره. همین کفایبت میکنه چون در نهایت وقتی فرم ارسال میشه به اون صفحه ای که میخواید هدایت میشه و عملا قابل دیدن هست . اون تابع کارش چیز دیگریست. شما فقط کافیه برای امنیت متد رو برابر post بذارید.

مگر اینکه بخواید از یه سری کوئری‌ها استفاده کنید در اون لینک مد نظر که نمیخواید کاربر دستکاری کنه اونوقت به کار میاد.

این داکیومنت‌ها رو برای استفاده تایع htmlspecialchars بخونید متوجه خواهید شد برای کجاها قابل استفاده هست و به چه صورت.

https://www.php.net/manual/en/function.htmlspecialchars.php

https://www.w3schools.com/php/php_form_validation.asp#:~:text=The%20htmlspecialchars()%20function%20converts,site%20Scripting%20attacks)%20in%20forms.