Der im Parameter Text eingegebene Text wird HTML maskiert in das HTML Dokument eingefügt. Dabei werden Sonderzeichen wie < > & “ etc. in die entsprechenden HTML Entitäten wie < > & " etc. gewandelt. Es kann mit diesem Kommando also kein HTML Markup ausgegeben werden. Dieses Kommando sollte verwendet werden, um Cross Site Scripting (XSS) bei unsicherem Ausgabetext zu verhindern.