urldecode и плюсы - PHP

Question

У меня есть поле формы, в которое я вставляю строку запроса.

Это очищается, поскольку он кодируется по URL, а затем я добавляю htmlentities, чтобы он не создавал некорректный HTML.

Другими словами:

<input type="text" name="example" value="<?php echo htmlentities((urldecode($_GET["example"])); ?>" />

urldecode преобразует плюсы в пробелы, однако кто-то может пожелать использовать подлинный плюс в своем запросе.

Два вопроса:

1. является достаточно «безопасным» для инъекций и т. Д.
2. есть ли альтернатива urldecode, которая не преобразует подлинный плюс

Answer 1

Строки в массиве $_GET уже urldecoded. Вы не должны делать это снова.

С другой стороны, если вы действительно хотите вставить плюс в строку запроса, вы должны сначала скопировать его.