Tra le novità introdotte con la versione 5.4.0 di PHP ve ne sono alcune che coinvolgono la funzione nativa htmlspecialchars(); tali modifiche riguardano anche altre features correlate quali htmlentities() e parzialmente anche htmlspecialchars_decode(), html_entity_decode() e get_html_translation_table(). Nello specifico i miglioramenti apportati riguardano:
- l’adozione di UTF-8 come set di caratteri predefinito: htmlspecialchars() accetta come terzo parametro il riferimento ad un charset, ma spesso tale argomento non viene specificato, ne consegue che la funzione utilizza il set di caratteri di default; fino alla release 5.3.x quest’ultimo era ISO-8859-1, fattore che creava dei problemi di corrispondenza con il più utilizzato encoding UTF-8.
- nuova gestione degli errori: è stata introdotta l’opzione ENT_SUBSTITUTE, a differenza della preesistente ENT_IGNORE (ancora disponibile) essa non rigetta le sequenze di unità di codice non valide, ma le sotituisce tramite un rimpiazzo basato sull’encoding U+FFFD, come per esempio i noti caratteri “�”.
- gestione del Doctype: PHP introduce ora per la funzione le flags:
- ENT_HTML401 per HTML 4.01, che è poi quella predefinita;
- ENT_HTML5 per HTML 5;
- ENT_XML1 per XML 1;
- ENT_XHTML perXHTML.
Così, per esempio, applicando il var_dump() di htmlspecialchars() con ENT_HTML401 su un singolo apice si otterrà come output “‘”, metre con flag ENT_HTML5 il risultato sarà “'”.
Per eventuali approfondimenti vi consiglio la lettura di questo interessante approfondimento di Nikita Popov riguardante l’argomento.
