[dotvoid]

htmlspecialchars är att hoppa i galen tunna - det används för (svengelskavarning) escapa output... och varför man inte ska tillåta ', & eller rentav vilket tecken som helst i ett användarnamn är väl också det obegripligt. Inte ens om det innehåller kombinationer av tecken som skapar xss-problem ska det vara något problem om de som skapar systemet använder rätt saker på rätt plats för att filtrera/escapa data. Ett tecken är ett tecken är ett tecken för en dator. Den skiljer inte på ' eller % eller A annat än att det är bytes med olika värden.

Å andra sidan kanske man är obenägen att gå in och ändra funktionalitet i en inköpt forumprogramvara som man sen måste hantera vid varje uppgradering etc...