Try htmlentities():

htmlentities("'", ENT_QUOTES, 'UTF-8', true);

İkinci soruya gelince, evet (genel bir kural olarak).

Çıkışı kullanıcı giriş / ham girişine her zaman kullanabilirsiniz htmlspecialchars() en azından. Gerekir

Sen htmlentities() arıyoruz. Bu bir HTML karakter varlık karşılığı olan herhangi bir karakter çevirmek olacaktır.

Uyarılar bir çift o var olmasına karşın, HTML çıktı ham karakter güvensiz değil:

• Eğer belge öğeleri veya nitelikleri içinde bunları çıkış vardır eğer geçersiz HTML üretmek olabilir.
• Kullanıcı girişi ise, o zaman mümkün cross-site scripting (XSS) saldırıları önlemek için dezenfekte edilmesi gerekiyor.