Tu es *nur dann*, wenn du die Daten (hier Strings) im HTML-Kontext ausgeben willst.

Beispiel: Die Eingaben eines Besuchers in einem Gästebuch müssen zum Abspeichern in einer MySQL-DB im Query mit mysql_real_escape_string maskiert werden. Wenn die Seite mit den Einträgen zur Ansicht aufgerufen wird, musst du *nun* die aus der Datenbank geholten Strings der Einträge mit htmlspecialchars behandeln, um etwaig vorhandene, unerwünschte Stringteile, z.B. JavaScript-Code, in der HTML-Ausgabe zu maskieren.

Tschö, Auge

Hi Auge, ja genau so stands auch auf der Site.

Also ist htmlchars eine Art Gegenstück zu mysql_real_escape_string?