htmlspecialchars() / htmlentities()対応: PHP 4（2000）

// HTMLの特殊文字をエスケープします。
htmlspecialchars($string, $flags, $encoding, $double_encode);

// すべてのHTML文字実体をエスケープします。
htmlentities($string, $flags, $encoding, $double_encode);

// HTML文字実体を元の文字に戻します。
html_entity_decode($string, $flags, $encoding);

// HTMLタグを除去します。
strip_tags($string, $allowed_tags);

変換後の文字列を返します。元の文字列は変更されません。

<?php
// XSS攻撃を防ぐ基本的な使い方です。
$user_input = '<script>alert("XSS")</script>';
echo htmlspecialchars($user_input, ENT_QUOTES, "UTF-8"); // タグがエスケープされて安全に表示されます。

// 変換される5つの文字です。
$str = '& " \' < >';
echo htmlspecialchars($str, ENT_QUOTES, "UTF-8"); // 『&amp; &quot; &#039; &lt; &gt;』と出力されます。

// フォーム入力値の安全な表示に活用する例です。
$name = '山田<b>太郎</b>';
echo '<p>' . htmlspecialchars($name, ENT_QUOTES, "UTF-8") . '</p>'; // タグが無効化された安全なHTMLが出力されます。

// htmlentities() はより広い範囲の文字を変換します。
echo htmlentities("© 2026", ENT_QUOTES, "UTF-8"); // 著作権記号も文字実体に変換されます。

// html_entity_decode() で元の文字に戻します。
$encoded = "&lt;p&gt;テスト&lt;/p&gt;";
echo html_entity_decode($encoded, ENT_QUOTES, "UTF-8"); // 『<p>テスト</p>』と出力されます。

// strip_tags() でHTMLタグを除去します。
$html = "<p>これは<b>太字</b>の<a href='#'>リンク</a>です。</p>";
echo strip_tags($html); // 『これは太字のリンクです。』と出力されます。

// 第2引数で許可するタグを指定できます。
echo strip_tags($html, "<b><p>"); // 『<p>これは<b>太字</b>のリンクです。</p>』と出力されます。

// ENT_QUOTES フラグの重要性を示す例です。
$value = '" onmouseover="alert(1)';
echo '<input value="' . htmlspecialchars($value, ENT_QUOTES, "UTF-8") . '">'; // ダブルクォートもエスケープされます。

『htmlspecialchars()』はXSS対策の基本となる関数で、ユーザー入力をHTMLに出力する際には必ず使用してください。第2引数には必ず ENT_QUOTES を指定してください。省略するとシングルクォートがエスケープされず、HTML属性値の中でXSS攻撃が成立する恐れがあります。第3引数のエンコーディングも "UTF-8" を明示的に指定することを推奨します。

『htmlentities()』は『htmlspecialchars()』より広い範囲の文字を変換しますが、通常のXSS対策には『htmlspecialchars()』で十分です。『html_entity_decode()』は逆変換を行い、データベースに保存されたエスケープ済みのデータを元に戻す場合などに使用します。

『strip_tags()』はHTMLタグを丸ごと除去する関数で、プレーンテキストが必要な場面に便利です。ただしXSS対策としては不完全なため、画面出力時は『htmlspecialchars()』を使用してください。URLのエンコードには『urlencode()』を使用します。