nicht angemeldet
Moin,
htmlspecialchars() behandelt nur die "wirklich" notwendigen Zeichen, die da wären &, <, > und je nach Parametern " und '. Diese müssen berücksichtigt werden. Das heißt nicht, dass sie unter allen Umständen umgeschrieben werden müssen.
Ok, das ergibt Sinn.
Gibt man zum Beispiel 中 zusammen mit einem wörtlich gemeinten & ein, so senden einige Browser das - wenn sie zu ISO-8859-1 gezwungen werden - als 中 und &. Wie unterscheidest du nun die Ersatzschreibweise 中 von dem wirklich so eingegebenen &? Das Beispiel mag etwas konstruiert erscheinen, aber einerseits ist das Problem auch bei einem einfachen & nicht einfacher lösbar und andererseits hast du ja selbst gesehen, wie schnell aus einem & gefolgt von para ein Entity erkannt wird.
Ja, das geht schneller als man denkt. Ich habe mir mal eine Art CMS für eine Seite geschrieben, in der ich genau das Problem hatte: Beim Anzeigen in der Textbox mussten Zeichen umgewandelt werden, genau wie beim Schreiben in die Datenbank. Das ist nervig und ist nur kompliziert zu machen.
Mittlerweile versuche ich nur noch UTF-8 zu nutzen, bzw. nach und nach umzustellen.
Grüße Marco