名前が長い関数 htmlspecialchars() を h() と書けるようにすると便利、という話がある。

• PHP: htmlspecialchars - Manual
• htmlspecialchars関数を簡単に扱えるようにする
• 第1回 CakePHPを使いたくなる5つの特徴：CakePHPで高速Webアプリ開発｜gihyo.jp … 技術評論社

htmlspecialchars() なんて長い名前は絶対忘れるし、ENT_QUOTESだのUTF-8だのも書き忘れるに決まっている。

h() は CakePHP でも使われていて、いいと思う。いいと思うんだけど、もうちょっといける。

<?php 
/** 改善前のエスケープ関数 */
function h($str)
{
    return htmlspecialchars($str, ENT_QUOTES, 'UTF-8')
}

このようにエスケープした結果をreturnで返すと、エスケープと出力を離して書けてしまう。

$name = h($name);
:
// 長い長い処理の後に
:
<?php echo $name; // たしかエスケープ済だったかな ?>
<?php echo h($address); // こっちはエスケープしてなかったかも ?>

これだとぜったいエスケープし忘れる。もしくは二重にエスケープする。

エスケープが常に出力の直前になるように h() の中で echo も実行するといい。エスケープしていない(echoが直に書かれた)箇所を目立たせる結果にもなる。

<?php 
/**
 * HTMLの特殊文字をエスケープして結果を出力します。
 */
function h($str)
{
    echo htmlspecialchars($str, ENT_QUOTES, 'UTF-8');
}

次のように使う。

<?php h($name); ?>
<?php h($address); ?>

htmlspecialchars() を実行した文字列に対して更に何か加工するのは例外的なケースだが、よくあるのは改行を<br/>にする処理で、これは hbr() として定義する。

<?php 
/**
 * HTMLの特殊文字をエスケープして改行の前にbrタグを追加し、結果を出力します。
 */
function hbr($str)
{
    echo nl2br(htmlspecialchars($str, ENT_QUOTES, 'UTF-8'));
}

それ以外は頑張って htmlspecialchars() と書く、と言いたいけど、ENT_QUOTES、'UTF-8'を忘れそうなので、やはり関数を定義しておいたほうが安心かも。h() を使いたくなるように、名前は長めにする。

<?php 
/**
 * HTMLの特殊文字をエスケープして結果を返します。通常は h() を使います。
 */
function htmlescape($str)
{
    return htmlspecialchars($str, ENT_QUOTES, 'UTF-8');
}

配列をまとめてエスケープといった話はすっぱり忘れる。やるなら htmlescapeArray(array $array) を定義して、処理内容を明確にする。