HTML Entity
Encoder

HTML Entity adalah kode khusus untuk merepresentasikan karakter yang memiliki arti khusus di HTML atau karakter yang tidak bisa diketik langsung. Diperlukan karena: karakter seperti < dan > adalah sintaks HTML — jika tidak di-encode, browser akan menafsirkannya sebagai tag. Karakter seperti © dan € tidak ada di keyboard standar. Encoding HTML entity juga merupakan langkah penting dalam XSS (Cross-Site Scripting) prevention untuk memastikan input user tidak dieksekusi sebagai kode HTML.

Encode Essential hanya mengubah 5 karakter berbahaya (&, <, >, ", ') — cukup untuk XSS prevention di sebagian besar kasus. Encode All mengubah semua karakter non-ASCII dan karakter khusus menjadi entity. Named Entities menggunakan nama yang mudah dibaca seperti &copy; dan &trade; jika tersedia. Numeric Decimal menggunakan kode desimal universal seperti &#169;. Hex menggunakan kode heksadesimal seperti &#xA9;. Named lebih mudah dibaca, Numeric/Hex lebih universal di semua browser.

htmlspecialchars() hanya mengubah 5 karakter khusus HTML: & menjadi &amp;, < menjadi &lt;, > menjadi &gt;, " menjadi &quot;, dan ' menjadi &#039; — setara dengan mode Encode Essential di tool ini. htmlentities() mengubah semua karakter yang memiliki HTML entity equivalent, termasuk karakter beraksent seperti é menjadi &eacute; — setara dengan mode Encode All. Untuk XSS prevention, htmlspecialchars() sudah cukup dan lebih direkomendasikan.

XSS (Cross-Site Scripting) adalah serangan di mana penyerang menyisipkan kode JavaScript berbahaya ke dalam halaman web melalui input user. Contoh: jika user input "<script >alert("hacked")< /script>" langsung ditampilkan tanpa encoding, browser akan mengeksekusi script tersebut. Dengan HTML encoding, < menjadi &lt; dan > menjadi &gt; — browser menampilkannya sebagai teks biasa, bukan kode yang dieksekusi.

Named entity seperti &copy;, &trade;, &mdash; lebih mudah dibaca dan dipahami manusia — cocok untuk template HTML yang sering diedit manual. Numeric entity seperti &#169; atau hex &#xA9; lebih universal — didukung semua browser termasuk yang sangat lama, dan bisa digunakan untuk karakter apapun meski tidak ada nama entity-nya. Untuk karakter umum, pakai named. Untuk karakter eksotis atau dalam konteks yang butuh kompatibilitas maksimal, pakai numeric.

Entity yang paling sering digunakan: &amp; untuk &, &lt; untuk <, &gt; untuk >, &quot; untuk tanda kutip ganda, &apos; untuk apostrophe, &nbsp; untuk non-breaking space, &copy; untuk ©, &reg; untuk ®, &trade; untuk ™, &euro; untuk €, &mdash; untuk em dash (—), &ndash; untuk en dash (–), dan &hellip; untuk ellipsis (…). Semua tersedia di tabel referensi tool ini.

Ya, karakter & dan tanda kutip dalam atribut HTML harus di-encode. Contoh: href="search?q=hello&world" salah — harus href="search?q=hello&amp;world". Tanda kutip di dalam atribut yang dibungkus tanda kutip yang sama juga harus di-encode: title="it&apos;s fine" atau ditulis dengan jenis kutip berbeda: title='it"s fine'. Mode Encode Essential di tool ini menangani semua kasus ini.