Hi!

htmlentities() kann man bei Werten, die keine Zeichen, die escaped werden müssen enthalten können natürlich weglassen.

Man kann es überall weglassen. Man verwendet besser htmlspecialchars(). (Zeichenkodierungsprobleme löst man sinnvoller mit dem durchgängigen Verwenden von UTF-8 statt mit Entities.) Es schadet auch nichts, es bei garantierten Zahlenwerten zu verwenden. Natürlich kann (und sollte) man auch aufpassen, dass bei einem späteren Ändern des Wertes die Maskierungsfunktionen anzupassen sind. Andererseits kann man mit Funktionen wie intval() oder einem Typecast in numerische Werte anzeigen, dass man sich an der Stelle bewusst war, dass da nichts zu maskieren ist und Zahlenwerte sichergestellt sind.

Lo!