在 PHP 中，经常需要对从外部用户输入的数据进行处理，以避免安全漏洞。经过 PHP 处理后，这些数据就可以安全地存储到数据库中、写入文件中，或者在 HTML 页面上输出。然而，如果我们没有经过适当处理，就可能会被黑客利用来执行不安全的代码，例如 XSS （跨站脚本攻击），甚至执行任意代码。

为了解决这个问题，我们可以使用 PHP 内置的函数：htmlspecialchar()（或简写为 htmlspecialchars()）。这个函数可以将所有与 HTML 有关的字符（比如小于号、大于号、引号等）转换为在 HTML 中的实体表示，从而避免攻击。

// 示例：将字符串 "This is aboldstatement" 中的 HTML 标签转换为实体
$str = "This is aboldstatement";
echo htmlspecialchars($str);
// 输出：This is a <b>bold</b> statement

在上述示例中，我们使用了 htmlspecialchars() 函数将字符串中的 HTML 标签转换成实体，防止输出时被当作 HTML 代码执行。

同时，我们也可以使用 htmlspecialchars() 函数指定所处理字符串的字符集。假设我们的字符串是中文，那么我们可以将字符集指定为 utf-8：

// 示例：将 utf-8 字符集的字符串中的 HTML 标签转换为实体
$str = "这是一个加粗的说法";
echo htmlspecialchars($str, ENT_COMPAT, 'utf-8');
// 输出：这是一个<b>加粗</b>的说法

在上述示例中，我们使用了 htmlspecialchars() 函数除了指定处理字符串的字符集，其他参数均使用默认值。ENT_COMPAT 表示将双引号作为实体输出，而 'utf-8' 则表示所处理的字符集为 utf-8。

除此之外，htmlspecialchars() 函数还可以处理一些其它参数，例如指定是否处理字符 "&"，或者禁用将实体放在属性值中等。如果对这些参数感兴趣，可以查看 PHP 手册以获得更多信息。

总之，htmlspecialchars() 函数是一种非常有用的 PHP 函数，能够帮助我们避免一些重大安全问题。在处理需要输出到 HTML 页面或者写入数据库的数据时，我们应该始终使用 htmlspecialchars() 函数来确保数据的安全性。