因为没有办法判断用户输入的数据是否安全, 可能含有和sql语句相冲突的字符，比如 '  " < >，
那就有一个办法, 把这些特殊字符处理一下，比如吧空格符号变成&nbsp;，这样sql语句就安全了，并且浏览器完全可以识别这些符号。

用户的输入有2中情况,

1 文章输入，插入数据库, htmlspecialchars -> 把某些可能和和sql语句相冲突的字符转义，但又不影响在网页上显示
2 url输入，显示在页面. -> 这个时候更要多测试不同情况, 真有http://localhost/local/?name=%27onmouseover=%27alert(1)

-------
htmlspecialchars('abc', ENT_QUOTES)

和之前想象的不同，body field在full html模式下，什么代码都能输入，因为sql语句不会和具体的value发生关系，只会和id/name之类的发生关系。

dpm(htmlspecialchars('q\'q"q\'>\<'));
//q'q&quot;q'&gt;\&lt;

dpm(htmlspecialchars('q\'q"q\'>\<',ENT_QUOTES));
//q'q&quot;q'&gt;\&lt;

从这里可以看出htmlspecialchars的功能还包括吧\'这样的字符转成‘,然后看是否ent_quotes，决定是否把‘转成实体。