Non fa differenza se usato correttamente.
La prima versione è standard però. Le virgolette singole sono usate meno spesso intorno ai valori degli attributi HTML, quindi è necessario essere un po 'più cauti quando si utilizzano varie funzioni intese a proteggere contro XSS, in quanto potrebbero non prendere necessariamente in considerazione questo caso.
htmlspecialchars
per esempio non codifica '
per impostazione predefinita, devi impostare in modo specifico ENT_QUOTES
. Qualsiasi funzione personalizzata che il progetto o il framework può utilizzare potrebbe avere lo stesso problema.