在 PHP 中，htmlentities() 和 htmlspecialchars() 都用于防止 XSS（跨站脚本攻击），主要目的是将 HTML 中有特殊含义的字符转换为实体，以避免被浏览器解析成真正的 HTML 标签。但它们的转换范围不同，具体区别如下：

✅ 1. htmlspecialchars() — 转换一部分特殊字符

✅ 它会转换以下 5 个字符：

用于输出包含部分 HTML 的内容时，比如评论、表单、用户输入 —— 避免用户输入 <script> 时被解析为脚本。

示例代码：

echo htmlspecialchars("<b>Hello</b>");
// 输出：&lt;b&gt;Hello&lt;/b&gt;

✅ 2. htmlentities() — 转换所有具有 HTML 实体的字符

✅ 它会转换 所有有 HTML 实体表示的字符，不仅限于上述 5 个。

比如：

✅ 用途：

当你希望页面显示出纯文本而不是任何 HTML 或特殊符号，比如用户上传内容直接显示在网页中，而不允许任何 HTML 标签或特殊字符。

示例代码：

echo htmlentities("<b>Hello & Welcome ©</b>");
// 输出：&lt;b&gt;Hello &amp; Welcome &copy;&lt;/b&gt;

🆚 总结区别对比表：

🔄 常用参数补充（两个函数都支持）：

htmlspecialchars($string, ENT_QUOTES, "UTF-8");
htmlentities($string, ENT_QUOTES, "UTF-8");

• ENT_QUOTES：同时转换单引号 ' 和双引号 "

• "UTF-8"：确保使用 UTF-8 编码，避免乱码

✅ 结论推荐：

如果你在实际项目中不确定用哪个，可以根据“是否允许 HTML 标签存在”的原则来判断。如有具体使用场景，我可以帮你详细选择更合适的方法。