htmlspecialcharsとかデコードとか

<?php

//大体フォームからPOSTで受けることが多かろう

$str = htmlspecialchars($_POST['name']);

//んでもって、ENT_QUOTESして文字コードもUTF-8で決め打ちして関数かしておくと便利。

function h($str){
    return htmlspecialchars($str, ENT_QUOTES, 'UTF-8');
}

echo h($_POST['name']);


//で、デコードはというと、MySQLから配列でassocで取り出したテキストがあるとして、

$str = htmlspecialchars_decode($row['name']);

//これも、関数化しておけば便利かな。
function d($str){
    return htmlspecialchars_decode($str);
}

echo d($row['name']);

?>

関数内で returnで戻り値を返すんじゃなくてecho までやっちまうというのもあるが、
まあそれはどっちでもいいような。