但是我真的需要一个textarea的htmlentities？

我想知道在html textarea上打印之前是否真的有必要用htmlentities($ str,ENT_QUOTES,"UTF-8")来逃避我的字符串.

或者自动这个人为我逃脱了角色？

是的,这是必要的.

否则,输入数据中的a会弄乱你的标记.

 <--------------------------- Your tag

   <------------------------ User input      
   <-- User input, XSS injection

 <-------------------------- Your tag