この関数は、掲示板やゲストブックなどでユーザが書きこんだテキストから HTML のマークアップ用文字を取り除く場合に有用です。

変換対象となる文字は以下の通りです。

• '&' (アンパサンド) は '＆amp;' になります。
• ENT_NOQUOTES が設定されていない場合、 " (ダブルクォート) は '＆quot;'になります。
• ENT_QUOTES が設定されている場合のみ、 ' (シングルクオート) は '＆#039;'になります。
• '<' (小なり) は '＆lt;' になります。
• '>' (大なり) は '＆gt;' になります。

http://php.net/manual/ja/function.htmlspecialchars.php

ネタ元

• http://www.asahi-net.or.jp/~wv7y-kmr/memo/php_security.html#XSS_solution

ENT_QUOTESを指定するとシングルクォーテーションも変換されます。

htmlspecialchars($str, ENT_QUOTES);

入れといたほうがいいみたい

ネタ元

• http://phpspot.org/blog/archives/2008/01/phphtmlspecialc.html