PHPのhtmlentities()とhtmlspecialchars()の違いと適切なエンティティ変換

フラグ定数（第二引数オプション）

※デフォルトはENT_COMPAT

6. ENT_DISALLOWED

無効な符号位置をUnicodeの代替文字である U+FFFD (UTF-8) もしくは &#FFFD; で置き換える。

設定しない場合は無効な符号位置をそのまま残す。

外部コンテンツを埋め込んだXML文書を整形式に保つために有効。

エンコーディング（第三引数オプション）

エンコーディングは、セットしない場合デフォルトでphp.iniのdefault_charsetで設定されている文字セットが適用されます。（設定値は公式ページを参照してください。）

既存のhtmlエンティティ取扱い（第四引数オプション）

このオプションは、エンティティ変換に二重処理を防止する為のオプションで、デフォルトではON(true)に設定されています。つまりは、既にエンティティ変換が行われているものについては変換処理を行わない為の設定です。

例えばこのオプションをOFF(false)に設定した場合、重ねてエンティティ変換が行われると以下のようになります。

&
↓   // 1回目のエンティティ変換
&
↓   // 2回目のエンティティ変換
&
↓   // 3回目のエンティティ変換
&

「＆」部分が何重にもエンティティ変換されていってしまい、文字参照・実体参照として成立しなくなります。

デフォルト処理

オプションは設定せず、デフォルトでの変換の場合です。

htmlentities

echo htmlentities($text);
// => <あいう&"えおか"&'きくけ'> 記号 ⇒「©」「≠」「£」「→」「⇔」

htmlspecialchars

echo htmlspecialchars($text);
// => <あいう&"えおか"&'きくけ'> 記号 ⇒「c」「≠」「￡」「→」「⇔」

htmlentities()の方はシングルクォーテーション以外は記号も含め根こそぎエンティティ変換されているのに対し、htmlspecialchars()の方は対象文字以外は変換されていないことが確認できます。

シングルクォーテーションも変換対象に含む

次は、第二引数を指定してシングルクォーテーションも変換対象に含みます。

htmlentities

echo htmlentities($text, ENT_QUOTES);
// => <あいう&"えおか"&'きくけ'> 記号 ⇒「©」「≠」「£」「→」「⇔」

htmlspecialchars

echo htmlspecialchars($text, ENT_QUOTES);
// => <あいう&"えおか"&'きくけ'> 記号 ⇒「c」「≠」「￡」「→」「⇔」

第二引数に「ENT_QUOTES」を指定する事で、両者ともシングルクォーテーションも変換された事が確認できます。

また、第二引数は複数指定する事も可能です。その場合は「|（パイプライン）」で区切ります。

htmlentities

echo htmlentities($text, ENT_QUOTES | ENT_HTML5);
// => <あいう&"えおか"&'きくけ'> 記号 ⇒「©」「≠」「£」「→」「⇔」

htmlspecialchars

echo htmlspecialchars($text, ENT_QUOTES | ENT_HTML5);
// => <あいう&"えおか"&'きくけ'> 記号 ⇒「c」「≠」「￡」「→」「⇔」

エンティティ変換をデコードする

一度エンティティ変換を行ったものに対して、デコード（もとに戻す）事も出来ます。それぞれ、デコード用関数が用意されており、htmlentities()の場合はhtml_entity_decode()を、htmlspecialchars()の場合はhtmlspecialchars_decode()を用います。

htmlentities

$entity = htmlentities($text, ENT_QUOTES);
echo html_entity_decode($entity, ENT_QUOTES);
// => <あいう&"えおか"&'きくけ'> 記号 ⇒「c」「≠」「￡」「→」「⇔」

htmlspecialchars

$entity = htmlspecialchars($text, ENT_QUOTES);
echo htmlspecialchars_decode($entity, ENT_QUOTES);
// => <あいう&"えおか"&'きくけ'> 記号 ⇒「c」「≠」「￡」「→」「⇔」

デコードは両者ともエンティティ変換前の文字列に戻っている事が確認できます。ポイントは、デコードの際に、エンティティ変換を行った時と同じオプション（フラグ定数）を指定する事です。そうする事で、フラグ定数指示に則ってデコードが行われます。

get_html_translation_table()

おまけですが、デコード用関数を使わなくても手動で戻す事も可能です。

PHPにはget_html_translation_table()という関数があり、これを用いる事でhtmlspecialchars()やhtmlentities()で使用される変換テーブルを取得する事が出来るので、これを利用する事で手動でデコードが可能です。

htmlentities

// エンティティ変換
$entity = htmlentities($text, ENT_QUOTES);

// htmlentitiesの変換テーブルを取得する
$entity_table = get_html_translation_table(HTML_ENTITIES, ENT_QUOTES);

// KEY と VALUE を反転させる
$rev_entity_table = array_flip($entity_table);

// 文字列の置換を行う
echo strtr($entity, $rev_entity_table);
// => <あいう&"えおか"&'きくけ'> 記号 ⇒「c」「≠」「￡」「→」「⇔」

htmlspecialchars

// エンティティ変換
$entity = htmlspecialchars($text, ENT_QUOTES);

// htmlentitiesの変換テーブルを取得する
$entity_table = get_html_translation_table(HTML_SPECIALCHARS, ENT_QUOTES);

// KEY と VALUE を反転させる
$rev_entity_table = array_flip($entity_table);

// 文字列の置換を行う
echo strtr($cng2, $rev_entity_table);
// => <あいう&"えおか"&'きくけ'> 記号 ⇒「c」「≠」「￡」「→」「⇔」

get_html_translation_table関数の第一引数には変換テーブル指定の為の定数が渡されており、必要に応じてフラグ定数を第二引数に渡す事で、こちらの要求する変換テーブルセットを配列で取得する事が出来ます。htmlentitiesの変換テーブルは多いので割愛しますが、htmlspecialcharsの変換テーブルは、例えば以下のようになっています。

get_html_translation_table(HTML_SPECIALCHARS, ENT_QUOTES);
 => Array
    (
        ["] => "
        [&] => &
        ['] => '
        [<] => &lt;
        [>] => &gt;
    )