Если вы используете соответствующий класс или библиотеку, они будут выполнять экранирование для вас.
Есть только пять:
" "
' '
< <
> >
& &
Экранирующие символы зависят от того, где специальный символ используемый.
Примеры могут быть проверены в службе валидации разметки W3C .
Безопасный способ состоит в том, чтобы избежать всех пяти символов в текст, однако, три символа "
, '
и >
не должны быть экранированы в тексте:
"'>
Безопасный способ - убежать все пять символов в атрибутах, однако, символ >
не должен быть экранирован в атрибутах:
Символу '
не нужно экранировать в атрибутах, если кавычки "
:
Аналогично, "
не нужно экранировать в атрибутах, если кавычки '
:
Все 5 специальных символов не должны удаляться в комментариях:
Все 5 специальных символов не должны выходить в секции CDATA :
&]]>
Все 5 специальных символов не должны быть экранированы в инструкциях обработки XML:
?>
HTML имеет собственный набор escape-кодов w он покрывает намного больше персонажей.